DR/FakePic.gen Malware, Bilder verschwunden
 

Admin: Bitte vorherigen Thread von mir löschen, da habe ich wohl nicht meine Hausaufgaben gemacht:
http://www.trojaner-board.de/93815-d...ts-weiter.html

Hallo Ihr,
ich habe wie gesagt, massiven JPG-Verlust durch o.a. Virus, habe ich jetzt ein sauberes System?


MBAM Log:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5323

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.12.2010 16:34:29
mbam-log-2010-12-16 (16-34-29).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155316
Laufzeit: 3 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

*****************************************************

Defogger Disable Log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:35 on 16/12/2010 (Admin)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-


*****************************************************


GMER Log:


GMER Logfile:
--- --- ---


*****************************************************


OTL Log:OTL Logfile:
--- --- ---


*****************************************************


Extras:
OTL Logfile:
--- --- ---


Gruß,

Dirk

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Programme deinstallieren

Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren.
Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.

Schritt 2

Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

Schritt 4

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo Swisstreasure,

Danke für deine Mühe, jetzt gehts endlich weiter.
Ich hoffe, dass ich alles so gemacht habe, wie du es beschrieben hast, sollte baber geklappt haben.

Hier das OTL-LOG:

All processes killed
========== OTL ==========
No active process named ApplicationUpdater.exe was found!
Error: No service named Application Updater was found to stop!
Service\Driver key Application Updater not found.
File C:\Programme\Application Updater\ApplicationUpdater.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
File C:\Programme\Search Settings\SearchSettings.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
File C:\Programme\Search Settings\SearchSettings.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings not found.
File C:\Programme\Search Settings\SearchSettings.exe not found.
Folder C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Search Settings\ not found.
Folder C:\Programme\Search Settings\ not found.
Folder C:\Programme\Dealio Toolbar\ not found.
Folder C:\Programme\Application Updater\ not found.
Folder C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Search Settings\ not found.
Folder C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dealio\ not found.
C:\Dokumente und Einstellungen\Admin\Application Data\Microsoft\Forms folder moved successfully.
C:\Dokumente und Einstellungen\Admin\Application Data\Microsoft folder moved successfully.
C:\Dokumente und Einstellungen\Admin\Application Data folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 90822 bytes
->Temporary Internet Files folder emptied: 160640 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 47066655 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Schorse
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Schorse.DIRK
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 147 bytes

Total Files Cleaned = 45,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 12162010_194001

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Perflib_Perfdata_2cc.dat not found!

Registry entries deleted on Reboot...


******************************************


MBR- LOG:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP2514N rev.VF100-41 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x867CBAB8]
3 CLASSPNP[0xF789EFD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\00000057[0x867D6F18]
5 ACPI[0xF77E4620] -> nt!IofCallDriver[0x804E37D5] -> \Device\Ide\IdeDeviceP0T0L0-4[0x867D0D98]
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c4581 size 0x1af !


******************************************


MBAM-LOG:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5328

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.12.2010 19:49:49
mbam-log-2010-12-16 (19-49-49).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152548
Laufzeit: 2 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Danke vorab für deine Mühe,


Dirk

Schritt 1

Bei Dir scheint sich etwas im Master Boot Record festgesetzt zu haben, wie das obige Ergebnis zeigt. Du hast jetzt zwei Möglichkeiten, den Master Boot Record (MBR) wieder in Ordnung zu bringen, die erste zeigt Dir auf, wie Du das mit Windows eigenen Mitteln machen kannst, die zweite, wie es mit dem Tool mbr.exe zu machen ist.

MBR wiederherstellen

Entweder so:

• Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu.
• Bootet der Computer nicht von CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.
• Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.
• Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
• Nun gebe folgenden Befehl ein:
• fixmbr

oder so:

• Kopiere die Datei mbr.exe nach C:\Windows\system32
• Start => ausführen => cmd (da reinschreiben) => OK
• es öffnet sich ein Dosfenster
• bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken)
• und ggfs. den Anweisungen folgen.

Schritt 2

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

Hallo Swiss,

das DOS Fenster hat sich nicht mit "DONE" gemeldet, sondern so mit dem Hinweis "Y" or "N" for more options. Bei "Y" gab er 3 Möglicjkeiten weiterzumachen:

1 Dump the MBR of a physical disk to file.
2 Restore the MBR of a physical disk with a standard boot code
3 Exit

Hier das Logfile von MBR:


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000007fc

Kernel Drivers (total 120):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7D2E000 \WINDOWS\system32\KDCOM.DLL
0xF7C3E000 \WINDOWS\system32\BOOTVID.dll
0xF77DE000 ACPI.sys
0xF7D30000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF77CD000 pci.sys
0xF782E000 isapnp.sys
0xF783E000 ohci1394.sys
0xF784E000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7DF6000 pciide.sys
0xF7AAE000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF785E000 MountMgr.sys
0xF77AE000 ftdisk.sys
0xF7AB6000 PartMgr.sys
0xF786E000 VolSnap.sys
0xF7796000 atapi.sys
0xF787E000 aic78xx.sys
0xF777E000 \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
0xF788E000 disk.sys
0xF789E000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF775E000 fltmgr.sys
0xF774C000 sr.sys
0xF78AE000 PxHelp20.sys
0xF7735000 KSecDD.sys
0xF76A8000 Ntfs.sys
0xF767B000 NDIS.sys
0xF78BE000 sisagp.sys
0xF7661000 Mup.sys
0xF7A1E000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xF6DEF000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xF6DDB000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF7A2E000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xF7A3E000 \SystemRoot\System32\Drivers\Imapi.SYS
0xF7A4E000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF7A5E000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF6DB8000 \SystemRoot\System32\DRIVERS\ks.sys
0xF6A17000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF69F3000 \SystemRoot\system32\drivers\portcls.sys
0xF7A6E000 \SystemRoot\system32\drivers\drmk.sys
0xF7B6E000 \SystemRoot\System32\DRIVERS\usbohci.sys
0xF69CF000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7B76000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7B7E000 \SystemRoot\System32\DRIVERS\sisnic.sys
0xF7B86000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF7A7E000 \SystemRoot\System32\DRIVERS\serial.sys
0xF7CF6000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF699A000 \SystemRoot\System32\DRIVERS\parport.sys
0xF7A8E000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF7B8E000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF7CFA000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xF7F64000 \SystemRoot\system32\drivers\msmpu401.sys
0xF7F65000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF7A9E000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF7CFE000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF6983000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF78EE000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF704F000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF7B96000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF6972000 \SystemRoot\System32\DRIVERS\psched.sys
0xF703F000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF7B9E000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF7BA6000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF701F000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7BAE000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF7D54000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF5C54000 \SystemRoot\System32\DRIVERS\update.sys
0xF7D0E000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF700F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF6FFF000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7D5A000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF7D5C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E3D000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D5E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BC6000 \SystemRoot\System32\drivers\vga.sys
0xF7D60000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D62000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7BCE000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BD6000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF755E000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xF4AD1000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xF4A78000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xF4A50000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF4A2E000 \SystemRoot\System32\drivers\afd.sys
0xF6FDF000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF7BDE000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF4A03000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xF4993000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF6FBF000 \SystemRoot\System32\Drivers\Fips.SYS
0xF496D000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF78FE000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF790E000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xF48A7000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D66000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF7BE6000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
0xF7CE6000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF793E000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xF7BEE000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF7CEA000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xF794E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF4867000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D6E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF4B34000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BF6000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7EF9000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xF353A000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF3563000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xF2ADD000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF2278000 \SystemRoot\system32\drivers\wdmaud.sys
0xF48ED000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7B46000 \SystemRoot\System32\drivers\BrPar.sys
0xF7D90000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF1F2A000 \SystemRoot\System32\DRIVERS\srv.sys
0xF1C69000 \SystemRoot\System32\Drivers\HTTP.sys
0xF7C36000 \??\C:\DOKUME~1\Admin\LOKALE~1\Temp\mbr.sys
0xF0996000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 33):
0 System Idle Process
4 System
452 C:\WINDOWS\system32\smss.exe
516 csrss.exe
540 C:\WINDOWS\system32\winlogon.exe
584 C:\WINDOWS\system32\services.exe
596 C:\WINDOWS\system32\lsass.exe
768 C:\WINDOWS\system32\svchost.exe
816 svchost.exe
884 C:\WINDOWS\system32\svchost.exe
936 svchost.exe
1060 svchost.exe
1184 C:\WINDOWS\system32\spoolsv.exe
1232 C:\Programme\Avira\AntiVir Desktop\sched.exe
1296 svchost.exe
1492 C:\WINDOWS\explorer.exe
1636 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1644 C:\WINDOWS\soundman.exe
1652 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1668 C:\Programme\DIVX\DivX Update\DivXUpdate.exe
1676 C:\Programme\DIVX\DivX Plus Web Player\DDMService.exe
1688 C:\Programme\Replay Media Catcher\FLVSrvc.exe
1696 C:\WINDOWS\system32\ctfmon.exe
1728 C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
1968 C:\Programme\Avira\AntiVir Desktop\avguard.exe
2000 C:\Programme\Java\jre6\bin\jqs.exe
256 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2252 alg.exe
3112 C:\Programme\Mozilla Firefox\firefox.exe
3464 C:\Programme\Image Optimizer\Image Optimizer\Optimizer.exe
3720 C:\Programme\Image Optimizer\Image Optimizer\Optimizer.exe
3624 C:\WINDOWS\system32\cmd.exe
2632 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000000c`34f34a00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2514N, Rev: VF100-41
PhysicalDrive1 Model Number: ST3500830ACE, Rev: 3.ACD

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
465 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: 88F5AFF1684AD7C98885B21F01192A0ED68C1A3D


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:

Danke für deine weitere Mühe,

Dirk

Hast Du Schritt 1 gemacht?

Hm....

Wenn du fragst, dann gehe ich davon aus, dass ich auch bei MBR Wiederherstellen unter "oder so:" von der Boot CD hätte starten müssen?
Oder doch nicht? Jetzt weiß ich nicht recht, was ich machen soll....

Dirk

Entweder so oder so :) beides möglich :)

OK, dann mach ich das mal wie bei "Entweder"....

Hm... ich habe für nur eine Sekunde die Option "von CD starten mit beliebiger Taste" und dann geht er von allein weiter.
Wenn ich aufpasse, und in diesem Moment eine Taste drücke, habe ich danach trotzdem nur die Option mit "c:" weiterzu gehen.
Ich müsste dann dort eine "1" eingeben, um mit "C:" weiter zu machen.
Muss ich dann "C" wählen?

Dirk

Im BIOS ist das DVD Laufwerk als first boot-device eingetragen

Dirk

Hallo Swiss,

Ich habe es geschafft, au "C" den MBR zu fixen.
Hat aber ne komplette Reparatur von SP1 bis SP3 nach sich gezogen, ist aber alles noch da, so wie es aussieht.


Hier der Log:

***********************************************************

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000007fc

Kernel Drivers (total 118):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EE000 \WINDOWS\system32\hal.dll
0xF7D2E000 \WINDOWS\system32\KDCOM.DLL
0xF7C3E000 \WINDOWS\system32\BOOTVID.dll
0xF77DE000 ACPI.sys
0xF7D30000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF77CD000 pci.sys
0xF782E000 isapnp.sys
0xF783E000 ohci1394.sys
0xF784E000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7DF6000 pciide.sys
0xF7AAE000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF785E000 MountMgr.sys
0xF77AE000 ftdisk.sys
0xF7AB6000 PartMgr.sys
0xF786E000 VolSnap.sys
0xF7796000 atapi.sys
0xF787E000 aic78xx.sys
0xF777E000 \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
0xF788E000 disk.sys
0xF789E000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF775E000 fltmgr.sys
0xF774C000 sr.sys
0xF78AE000 PxHelp20.sys
0xF7735000 KSecDD.sys
0xF76A8000 Ntfs.sys
0xF767B000 NDIS.sys
0xF78BE000 sisagp.sys
0xF7661000 Mup.sys
0xF796E000 \SystemRoot\System32\DRIVERS\processr.sys
0xF710C000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xF70F8000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF797E000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xF798E000 \SystemRoot\System32\Drivers\Imapi.SYS
0xF799E000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF79AE000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF70D5000 \SystemRoot\System32\DRIVERS\ks.sys
0xF6D34000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF6D10000 \SystemRoot\system32\drivers\portcls.sys
0xF79BE000 \SystemRoot\system32\drivers\drmk.sys
0xF7B2E000 \SystemRoot\System32\DRIVERS\usbohci.sys
0xF6CEC000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7B3E000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7B46000 \SystemRoot\System32\DRIVERS\sisnic.sys
0xF7B4E000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF79CE000 \SystemRoot\System32\DRIVERS\serial.sys
0xF7CD2000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF6CD8000 \SystemRoot\System32\DRIVERS\parport.sys
0xF79DE000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF7B56000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF7CD6000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xF7F1D000 \SystemRoot\system32\drivers\msmpu401.sys
0xF7F1E000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF79EE000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF7CDA000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF6C21000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF79FE000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF7A0E000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF7B5E000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF6C10000 \SystemRoot\System32\DRIVERS\psched.sys
0xF7A1E000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF7B66000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF7B6E000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF7A2E000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7B76000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF7D48000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF6B91000 \SystemRoot\System32\DRIVERS\update.sys
0xF7CEA000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF7A3E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7A4E000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7D4E000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF7D50000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E1D000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D52000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7B96000 \SystemRoot\System32\drivers\vga.sys
0xF7D54000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D56000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7B9E000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BA6000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7D1A000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xF5A36000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xF59DD000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xF59B5000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF5993000 \SystemRoot\System32\drivers\afd.sys
0xF7A6E000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF7BAE000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF5968000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xF58D0000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF7A8E000 \SystemRoot\System32\Drivers\Fips.SYS
0xF58AA000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF7A9E000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF78EE000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xF7BC6000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
0xF57E4000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D5A000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF72EC000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF78FE000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xF7BD6000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF72E8000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xF791E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF57CC000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D68000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7CC6000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BEE000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7E73000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xF4477000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF44A8000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xF39F2000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF3115000 \SystemRoot\system32\drivers\wdmaud.sys
0xF4514000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7C1E000 \SystemRoot\System32\drivers\BrPar.sys
0xF7DE6000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF2E95000 \SystemRoot\System32\DRIVERS\srv.sys
0xF22B9000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 36):
0 System Idle Process
4 System
460 C:\WINDOWS\system32\smss.exe
520 csrss.exe
544 C:\WINDOWS\system32\winlogon.exe
588 C:\WINDOWS\system32\services.exe
600 C:\WINDOWS\system32\lsass.exe
764 C:\WINDOWS\system32\svchost.exe
824 svchost.exe
892 C:\WINDOWS\system32\svchost.exe
944 svchost.exe
1064 svchost.exe
1184 C:\WINDOWS\system32\spoolsv.exe
1232 C:\Programme\Avira\AntiVir Desktop\sched.exe
1296 svchost.exe
1492 C:\WINDOWS\explorer.exe
1620 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1628 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1636 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
1648 C:\Programme\DIVX\DivX Update\DivXUpdate.exe
1656 C:\Programme\DIVX\DivX Plus Web Player\DDMService.exe
1664 C:\Programme\Replay Media Catcher\FLVSrvc.exe
1672 C:\WINDOWS\soundman.exe
1680 C:\WINDOWS\system32\ctfmon.exe
1700 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
1732 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1744 C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
1804 C:\Programme\Java\jre6\bin\jqs.exe
2004 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2252 alg.exe
3204 C:\Programme\Mozilla Firefox\firefox.exe
2276 C:\WINDOWS\system32\vssvc.exe
2412 C:\WINDOWS\system32\dllhost.exe
2112 C:\WINDOWS\system32\dllhost.exe
1840 msdtc.exe
3952 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000000c`34f34a00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2514N, Rev: VF100-41
PhysicalDrive1 Model Number: ST3500830ACE, Rev: 3.ACD

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
465 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: 88F5AFF1684AD7C98885B21F01192A0ED68C1A3D


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:


****************************************************


Danke soweit und Gruß,

Dirk

HM... ich habe immer noch folgenden Bootvirus:

Meine Partitionen sind:

Eine Platte mit C und E,
eine Platte mit D

Auf C und E und D meldet Avira den Virus Boo/Sinowal.A bei HD5.... was immer das bedeutet...


Gruß,

Dirk

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Hier Der Log, anzumerken wäre noch, dass ich jetzt ein IE-Icon auf dem Desktophabe, das nur eine Verknüpfung auf dem Desktop bildet, satt den IE zu starten.
Starte ich meinen vorher installierten IE, fehlt ihm eine DLL Datei.

Hier der Log:

**************************************************


Combofix Logfile:
--- --- ---

**************************************************

PS: Avira meldet immer noch BOO/Sinowal

Danke soweit und Gruß,

Dirk

AntiVir - Funde rauskopieren

Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse
Typ anklicken, damit die Ereignisse nach Typart sortiert werden.
Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

Hallo Swiss,

hier das Logfile:

*****************************************************


Exportierte Ereignisse:

28.11.2010 09:19 [Updater] Update nicht ausgeführt
Das Update von Computer DIRK (192.168.178.20) von hxxp://192.168.178.1/update
ist fehlgeschlagen.
Während des Herunterladens ist ein Fehler aufgetreten
Es wurden keine neuen Dateien geladen.

08.12.2010 13:34 [Updater] Update nicht ausgeführt
Das Update von Computer DIRK (192.168.178.20) von
hxxp://perspeak.avira-update.com/update ist fehlgeschlagen.
Während des Herunterladens ist ein Fehler aufgetreten
Es wurden keine neuen Dateien geladen.

16.12.2010 12:16 [Scanner] Malware gefunden
Die Datei 'Bootsektor 'D:\''
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

09.12.2010 01:29 [Scanner] Malware gefunden
Die Datei 'Bootsektor 'D:\''
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

16.12.2010 11:36 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{A6DBA778-D63F-4253-92A0-04F822131AC8}\RP82\A0034324.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

16.12.2010 11:40 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{A6DBA778-D63F-4253-92A0-04F822131AC8}\RP82\A0034324.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f734dba.qua'
verschoben!

16.12.2010 12:15 [Scanner] Malware gefunden
Die Datei 'Masterbootsektor HD1'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

17.12.2010 08:34 [Guard] Malware in Bootsektor gefunden
Im Masterbootsektor von Laufwerk 'Masterbootsektor HD1' wurde ein Virus oder
unerwünschtes Programm 'BOO/Sinowal.A' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

17.12.2010 09:52 [Scanner] Malware gefunden
Die Datei 'Masterbootsektor HD1'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

17.12.2010 09:52 [Scanner] Malware gefunden
Die Datei 'Masterbootsektor HD1'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

09.12.2010 12:02 [Scanner] Malware gefunden
Die Datei 'Masterbootsektor HD1'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

09.12.2010 12:02 [Scanner] Malware gefunden
Die Datei 'Bootsektor 'D:\''
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

********************************************************


Danke soweit und ein schönes Wochenende,

Dirk

Bootkit Remover anwenden

* lade Dir das Tool Bootkit Remover herunter
das ist RAR (Dateiformat), also Entpacke die Datei auf Deinen Desktop
* Doppelklick in dem ordner auf remove.exe
- Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
* Rechter Mausklick auf dem Bildschirm und klicke auf Select All
* Drücke Strg + C (an der Tastatur) zum Kopieren der Daten
* Öffne dein Notepad und drücke Strg + V die Daten einfügen

Poste dann bitte den Inhalt des Logfiles.

Hallo Swiss,

******************************************

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


Done;
Press any key to quit...

*************************************************

Danke und Gruß,

Dirk

PS: Ich habe mittlerweile meinen IE, den USB 2.0 Treiber neu installieren müssen. Hat das was mit unseren Aktionen hier zu tun?

Das wäre mir nicht bewusst.

Was ist bei Dir unter D: ? Eine externe Festplatte?

Hallo Swiss,

Bei der letzten Neuinstallation haben sich die Buchstaben so verteilt:

Eine HD mit zwei Partition: C und E
Eine zweite interne HD: D


Gruß,

Dirk

Schritt 1

Recovery Console starten

• Starte deinen Computer neu und drücke F8 bevor das Windows Logo kommt solange bis ein Menü kommt wo du die Recovery Console wählst.
• Die Recovery Console wird starten und dich fragen welche Windows Installation du benutzen möchtest. Wenn du mehrere Windows Installationen hast, wird es jede auf listen, und du musst die Nummer eingeben mit welcher Windows Version du arbeiten möchtest und drücke enter. Wenn du nur eine Windows Installation hast, tippe 1 und drücke enter.
• Es wir dich dann nach einem Administrator Passwort fragen. Wenn es keins gibt drücke einfach enter. Andernfalls tippe das Passwort ein und drücke dann enter.
• Wenn du das richtige Passwort eingegeben hast wird folgendes auftauchen C:\Windows>.
• Hier gibst Du folgenden Befehl ein (achte auf das Leerzeichen)
  
  Zitat:

  fixmbr \Device\HardDisk1

• Starte Neu und scanne mit Avira.

Hallo Swiss,

ich habe nur eine Version WIndows, aber ich bin nicht bis da hingekommen.

Die Recovery Console meldet:

"Die Datei AIC78.SY_ ist beschädigt.
Drücken sie eine beliebige Taste um..."

Und dann hat der Rechner einfach nur neu gestartet.

Hm.... ein harter Brocken, was? Bekommt man das noch hin?

In jedem Fall besten Dank soweit und Gruß,

Dirk

Wann melded dies die Konsole?

wenn ich sie starte, gleich danach, ohne weiteres Zutun

Das kommt nicht?

Nein, das kommt nicht, geht gleich auf den Hinweis auf die beschädigte Datei

Dirk

Lösche bitte die vorhandenen MBRCheck.txt. Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei

• Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
• Enter your choice: 2
• Enter the physical disk number to fix (0-99, -1 to cancel): 1
• PLease select the MBR code to write to this drive: 1

Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!! http://img831.imageshack.us/img831/5659/mbr.jpg

• Gib nun Yes ein und bestätige mit ENTER.
• Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut. Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten

Hallo Swiss,

kurz vor deinem letztem Post hat es meinen Rechner mit immer mehr (zu vielen) Verweigerungen erwischt.
Der eh anstehende Rechner-Neukauf ist jetzt ein paar Monate vorgezogen worden und der (fast 10 Jahre) alte bekommt die Tage ne Neu-Installation.

Ich muss nur diesen Boot-Virus dann loswerden... wenn es dir nichts ausmacht, werde ich mich dann hier nochmal bei dir melden.

In jedem Fall danke soweit und Gruß und nen guten Rutsch,

Dirk

Kein Problem. Aber erstelle dann einen neuen Thread.