Ok. Aber bei einem unbekannten MBR im Log von aswMBR lass ich fast immer fixen (es sei denn da ist noch ein Linux parallel installiert oder die Platte wurde vollverschlüsselt zB mit Truecrypt)

Hast du einen besonderen Bootloader drin ist ist das einfach von einer Standard-Windows-DVD installiert?
Ich könnte mir auch vorstellen, dass auf einem vom Hersteller vorinstallierten Windows ein anderer MBR sein kann.

Zitat:

22:20:15.897 Service pxkbf C:\windows\System32\drivers\pxkbf.sys **LOCKED** 32
22:20:15.972 Service pxscan C:\windows\System32\drivers\pxscan.sys **LOCKED** 32

Hast du was von PrevX installiert?

Ansonsten könntest du mal dein MBR backuppen (ok sollte aswMBR schon gemacht haben) und evtl. noch alle anderen Daten.
Dann machste einfach mal einen Fix mit aswMBR und dann neue Logs mit deinem Tool und dann nochmal mit aswMBR. Wäre das ein Vorschlag?

Zitat:

Zitat von cosinus

Ok. Aber bei einem unbekannten MBR im Log von aswMBR lass ich fast immer fixen (es sei denn da ist noch ein Linux parallel installiert oder die Platte wurde vollverschlüsselt zB mit Truecrypt)
Hast du einen besonderen Bootloader drin ist ist das einfach von einer Standard-Windows-DVD installiert?

Hier die neusten Info über eine wahrlich interessante Entwicklung in der Sache.

Avira hat, nach sage und schreibe 3 Tage Analyse, mir diese Rückmeldung gegeben:

Zitat:

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
26724218 Dump_Hdd0_DR0.mbr 512 Byte MALWARE


Please find a detailed report concerning each individual sample below:
Filename Result
Dump_Hdd0_DR0.mbr MALWARE

The file 'Dump_Hdd0_DR0.mbr' has been determined to be 'MALWARE'. Our analysts named the threat BOO/Dosump.A. The term "BOO/" denotes a boot sector or master boot sector virus. Detection will be added to our virus definition file (VDF) with one of the next updates.

VBA32, der einzige AV-Hersteller, der bei VT diese Datei als Boot Virus bezeichnet, hat mir in einer E-Mail mitgeteilt, dass es sich ihrerseits um einen Fehlalarm handelt:

Zitat:

This is false positive detection of heuristic engine.
Files are clean, detection will be removed.

Wenn das Malware ist, bedeutet das, dass es sich hier um was ganz neues handelt, da kein Scanner (ausser MBRScan und VBA32) hier eine Malware Code meldete und Avira 3 Tage brauchte um zu einem Resultat zu kommen.

Ich halte euch auf dem Laufenden.
MBR ist mit Avast gefixt worden.