virus im bootsektor
 

hallo

ich habe einen deskop rechner ASUS CG 8270 Series bei Saturn vor 4 monaten gekauft und habe das betriebssystem windows 8 64bit darauf laufen.

durch ein bootsektorvirus blockiert er mir meine ganzen pctätigkeiten wie beispielsweise, dass ich nicht mehr mit office produkte wie excel arbeiten kann, da er mit der maus komplett verrückt spielt oder dass ich den browser nach einer zeit nicht mehr schließen minimieren und weggklicken kann, sondern erst nachdem ich alt+tab 2x mal betätigt habe. zudem kann ich bei erweiterte einstellung nichts anklicken und muss alles per tastatur auswählen. die maus bewegt sich zwar noch, aber das anklicken funktioniert gar nicht. ich habe versucht den rechner neu aufzufrischen oder auch auf den ursprungszustand versucht zurückzusetzen, was leider erfolglos lief. bei der neuinstalltion von windows macht er mir schon wieder probleme, dass ich wieder nichts anklicken kann und ich wieder mit der tastatur alles bedienen muss. ich habe mir jetzt kaspersky internet security gekauft und installiert. aber auch selbst der findet den virus nicht. habe dann versucht mit den TDSS Killer den virus aufzuspüren, was auch erfolglos war. unglücklicherweise ist windows 8 auf der festplatte gespeichert und lässt sich bei der neuinstallation nur von der festplatte aus neuinstallieren, daher habe ich auch keine cd. zudem hat mir der virus auch beim booten den dvd laufwerk verschwinden lassen. im bios kann ich booten von dvd laufwerk nicht mehr auswählen, da es nicht mehr zur auswahl steht. auf windows aber sieht er das laufwerk. eine komplette neuinstallation ist daher gar nicht mehr möglich.ich bin schon verzweifelt und weiss gar nicht mehr was ich tun soll. bin kurz davor den rechner aus dem fenster zu schmeissen.... ich hoffe ihr könnt mir da weiterhelfen.

Hi,

woher weißt du das es ein Bootsektor-Virus ist?

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

danke für die schnelle antwort.

als ich bei saturn war, meinte der verkäufer aus erfahrungsberichten, dass sich dieses problem schon häufig ereignete und kam sofort zur schlussfolgerung nachdem ich ihn mein problem geschildert habe, dass der virus sich im bootsektor befinde. ob das jetzt stimmt, weiss ich leider selber nicht. jedensfall meinte er, dass ich mit der o.g antivirus software den virus beseitigen kann, indem ich beim hochfahren des pc das programm über mein dvd laufwerk boote. aber jetzt erkennt er nicht mal meinen dvd laufwerk im bios und zeigt es mir auch nicht mehr als bootoption an. die einzige bootmöglichkeit, die ich setzen kann ist die festplatte. wenn ich das programm über windows starte, findet er wiederum nichts. anbei habe ich die geforderten logs wie gewünscht hochgeladen.

Logs bitte immer in Codetags in den Thread posten, zur Not teilen.


oh....mein...gott.... :D

ja keine ahnung, ich glaube ich wurde einfach nur opfer seiner verkaufsprämie ^^

Addition

System errors:
=============
Error: (10/10/2013 11:14:08 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Intel(R) Capability Licensing Service Interface" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/10/2013 11:14:01 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Intel(R) Capability Licensing Service Interface" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/10/2013 11:13:54 AM) (Source: Service Control Manager) (User: )
Description: Dienst "Adobe Acrobat Update Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/10/2013 10:07:20 AM) (Source: Service Control Manager) (User: )
Description: Dienst "Intel(R) Dynamic Application Loader Host Interface Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/10/2013 08:46:02 AM) (Source: DCOM) (User: Jelly)
Description: 1084ShellHWDetectionNicht verfügbar{DD522ACC-F821-461A-A407-50B198B896DC}

Error: (10/10/2013 08:45:54 AM) (Source: DCOM) (User: Jelly)
Description: 1084ShellHWDetectionNicht verfügbar{DD522ACC-F821-461A-A407-50B198B896DC}

Error: (10/10/2013 08:43:12 AM) (Source: DCOM) (User: Jelly)
Description: 1084ShellHWDetectionNicht verfügbar{DD522ACC-F821-461A-A407-50B198B896DC}

Error: (10/10/2013 08:33:12 AM) (Source: DCOM) (User: Jelly)
Description: 1084ShellHWDetectionNicht verfügbar{DD522ACC-F821-461A-A407-50B198B896DC}

Error: (10/10/2013 08:29:03 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" ist vom Dienst "DHCP-Client" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1068

Error: (10/10/2013 08:29:03 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" ist vom Dienst "DHCP-Client" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1068


Microsoft Office Sessions:
=========================
Error: (10/10/2013 06:48:51 PM) (Source: Application Hang)(User: )
Description: firefox.exe24.0.0.5001166001cec5e09e34df6347C:\Program Files (x86)\Mozilla Firefox\firefox.exe23ce7f3d-31d4-11e3-be77-3085a9a91205

Error: (10/10/2013 08:04:15 AM) (Source: Microsoft-Windows-WMI)(User: NT-AUTORITÄT)
Description: //./rootselect * from __InstanceModificationEvent where targetinstance isa '__ArbitratorConfiguration'0x80041033

Error: (10/10/2013 08:04:15 AM) (Source: Microsoft-Windows-WMI)(User: NT-AUTORITÄT)
Description: $Coreselect * from __TimerEvent__TimerEvent//./root

Error: (10/10/2013 08:04:15 AM) (Source: Microsoft-Windows-WMI)(User: NT-AUTORITÄT)
Description: $Coreselect * from __TimerEvent__TimerEvent//./root/CIMV2

Error: (10/10/2013 08:04:15 AM) (Source: Microsoft-Windows-WMI)(User: NT-AUTORITÄT)
Description: $Coreselect * from __TimerEvent__TimerEvent//./root/subscription

Error: (10/10/2013 08:04:15 AM) (Source: Microsoft-Windows-WMI)(User: NT-AUTORITÄT)
Description: $Coreselect * from __SystemEvent__SystemEvent//./root

Error: (10/10/2013 08:04:15 AM) (Source: Microsoft-Windows-WMI)(User: NT-AUTORITÄT)
Description: $Coreselect * from __SystemEvent__SystemEvent//./root/subscription

Error: (10/10/2013 08:04:15 AM) (Source: Microsoft-Windows-WMI)(User: NT-AUTORITÄT)
Description: $Coreselect * from __SystemEvent__SystemEvent//./root/CIMV2

Error: (10/10/2013 08:04:15 AM) (Source: Microsoft-Windows-WMI)(User: NT-AUTORITÄT)
Description: $Coreselect * from __NamespaceOperationEvent__NamespaceOperationEvent//./root

Error: (10/10/2013 08:04:15 AM) (Source: Microsoft-Windows-WMI)(User: NT-AUTORITÄT)
Description: $Coreselect * from __NamespaceOperationEvent__NamespaceOperationEvent//./root/subscription


==================== Memory info ===========================

Percentage of memory in use: 14%
Total physical RAM: 12239.67 MB
Available physical RAM: 10447.84 MB
Total Pagefile: 17359.67 MB
Available Pagefile: 15257.39 MB
Total Virtual: 8192 MB
Available Virtual: 8191.76 MB

==================== Drives ================================

Drive c: (Windows) (Fixed) (Total:150 GB) (Free:100.84 GB) NTFS
Drive f: (kis 2014) (CDROM) (Total:0.52 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 1863 GB) (Disk ID: CB65F5CC)

Partition: GPT Partition Type Could not read MBR for disk 1.

==================== End Of Log ============================


FRST
FRST Logfile:
--- --- ---

Lade dir bitte Emsisoft MBR Master herunter und speichere es auf den Desktop.

• Führe die mbrmastr.exe aus.
• Drücke auf Backup MBR und speichere es als emsi auf den Desktop.
• Schliesse dann das Programm wieder.
• Packe die erstellte emsi.mbr in ein zip-Archiv (Rechtsklick -> Senden an -> Zip-komprimierten Ordner) und hänge die Datei hier an.
• Auf dem Desktop wird ebenfalls eine Textdatei MBRMastr_<date>_<time>.txt erstellt. Poste deren Inhalt bitte hier.

keine ahnung warum da win7 steht. ich habe auf jeden fall win8 laufen


Detected Windows version: 6.2 Build 9200
Installing direct disk access driver ...
Driver connection handle: 0x00000154
2 valid drive(s) found.

Details for Disk 0 - ST2000DM001-9YN164 Rev CC4B:
Device name : \\.\PhysicalDrive0
Geometry (C/H/S) : 243201/255/63
Boot loader reputation : Unknown
Cross view comparison : Passed
Partition table integrity: Passed

Boot loader hashes
SHA-1 : 639AC5CDF8A5CF3245975932C6A4215450A7B98F
MD5 : 5FB38429D5D77768867C76DCBDB35194


Details for Disk 1 - SanDisk SSD U100 32GB Rev 10.56.00:
Device name : \\.\PhysicalDrive1
Geometry (C/H/S) : 3892/255/63
Boot loader reputation : Known Good (Windows 7)
Cross view comparison : Passed
Partition table integrity: Passed

Boot loader hashes
SHA-1 : 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
MD5 : A36C5E4F47E84449FF07ED3517B43A31

Der Bootloader ist Win7, das OS wird korrekt angezeigt:
Ich bin auf Arbeit, kannst Du bitte die MBR Datei mal bei virustotal.de hochladen, scannen lassen und Link zum ergebnis hier posten?

Werde das heute Abend machen sobald ich von der Uni komme !

wo kann ich auf der seite was hochladen und scannen lassen?
da steht die webseite steht zum verkauf ^^

hat jetzt geklappt. hier ist der link zum ergebnis!

hxxp://www.trojaner-board.de/142797-virus-bootsektor.html#post1172131

das ist der Link zu deinem Thread hier :)

ups tut mir leid ^^


https://www.virustotal.com/de/file/5d64e2dec4b927d3cf64ef6e2030ad4067ee5b90d315c0fd8f2399e35fa899fc/analysis/1381517317/

Wie schon vermutet, top sauber. Was sind aktuell die wirklichen Probleme mit dem REchner?

das ist ganz schön kompliziert dass zu erklären. bei win8 beispielsweise kann ich bei pc einstellungen nichts anklicken. alles muss per tastatur betätigt werden. aber nicht nur dort, sondern hauptsächlich auch bei allen browserarten, kann ich nicht auf minimieren, schliessen klicken. als ob die schalftfläche nicht existiere. ichh muss dann immer vorher 2x alt + tab umd wieder auf dem browser zu gelangen, damit ich darauf klicken kann. auch bei anwednungen reagieren schaltflächen wie beispielsweiter "klicken sie auf weiter" oder "beenden" muss ich alles per tastatur . mein inet ist total langsam, zudem auch noch mein rechner. ausserdem erkennt er im bios nicht mehr mein dvdlaufwerk aber komischerweise auf windows. cds kann ich abspielen, da gibt es keine probleme. wenn ich von bios aus win7 starte funktioniert es nicht, da er den dvdlaufwerk nicht erkennt. da steht , dass nur eine festplatte vorhanden ist. beim zocken wie beispielsweise starcraft 2 macht die maus mitten im game einfach was sie will. da muss ich auch wieder kurz auf windows zurück und dann wieder ins game, damit es wieder normal ist. bei windowsmediaplayer kann ich auch nicht mehr die lieder in die wiedergabeliste verschrieben. kopieren von dateien funktioniert auch nicht mehr mit der maus aber durch tasten kompie strg+c strg+v geht das wieder. bei inetexplorer kann ich noch nicht mal scroll up and down betätigen oder an der leiste rechts die seite nach unten verschrieben. da muss ich erstmal ein textfeld makieren und mit der tastatur nach und schieben. an der maus kann das nicht liegen. ich habe schon mehrere mäuse versucht anzuschließen. alles das selbe problem. der pc ist ganz neu. denke nicht dass ich ein hardwareproblem habe. mir ist das genau dann passiert, als ich aus dem inet einen driver für meinen keyboard versucht habe runterzuladen und dann versehentlich diese qv06 toolbar installiert habe. dieser trojaner hatte als startseite immer diesen mist erzwungen. ich konnte auhch gar nichft mehr google.de als startseite setzen. ab da wurde es immer shclimmer. selbst bei der windows 8 installertion macht er probleme, ich kann die maus normal bewegen aber wieder nichts anklicken. habe auch andere usb ports versucht, aber das funktioniert auch nicht....

Hast du schon mal ne komplette Rep-Installation gemacht?

was meinst du genau mit rep installation?
das witzige ist, mein usb stick erkennt er im bios. aber wenn ich am anfang auf f8 drücke und den usb stick booten will, ignoriert er das einfach und startet ganz normal windows weiter.

Der USB Stick muss auch bootbar sein.

Rep-Install:
Reparaturinstallation Windows XP - grafische Anleitung ...

hab ich auch schon versucht win8 zu reparieren. mein usb ist bootbar. er zeigt ihn ja auch im bios an, aber ignoriert die bootpriorität jedesmal

Komisch. Und wenn Du von Win8 DVD bootest?

das ist ja das witzige daran. er erkennt im bios mein dvd boot nicht. aber auf windows wird er angezeigt. zudem hab ich windows 8 auf der platte gespeichert und muss es von dort aufrufen. dafür habe ich leider keine cd bekommen. und jetzt kann ich ja gar nichts mehr vom dvd laufwerk booten am anfang wenn ich den rechner starte.

Mach nen Inplace Upgrade aus dem laufenden Windows raus.

funktioniert auch nicht. hab ich eben versucht :(

Was genau funktioniert nicht?

generell gibt es irendwelche probleme bei der nuzung von windows. wie gesagt kann ich kaum was mit der maus was anklicken nach einer zeit. insbersondere die nutzung von browsers. den inahlt des fenster kann ich anklicken. aber beispielsweise schaltflächen wie schließen oder wenn ein weiteres fenster aufgeht mit neue schaltfläche, kann ich wiederum nicht anklicken-. ich muss vorher immer aufs taskmanager und dann wieder zurück sodass ich normal weiterklicken kann. aber gleich danach wenn ich wieder ein neues fenster vom browser aufmache kann ich wieder nichts anklicken.

ich habe jetzt mal meine version vom bios nachgeschaut. die ist anscheinend outdated. kann das vllt daran liegen? ich hab das jetzt mal vesucht zu installieren, aber er macht mir andauern irgendwelche probleme beim updaten vom bios....

Sorry, aber bei der Fülle an komischen Problemen würd ich das Teil in nen Laden bringen.