so okay nun der link zum log von random's system information tool:

http://www.file-upload.net/download-1570787/log.txt.html

hoffe, das hat geklappt.

lg, irie

so und nun zum letzten: was ist die bootplatte? die mit windows drauf und nicht die recovery, oder? ich frag lieber nochmal!

lg, irie

habe hier folgendes problem: hab die mbr.exe unter C:\ gepackt. wäre der pfad ja dann also C:\mbr. wenn ich start --> ausführen --> cmd eingebe, kommt aber immer sofort C:\Dokumente und Einstellungen\HP-Besitzer...kann da nix verändern. Soll ich die mbr.exe dann in diesen ordner verschieben?
fragen über fragen...sorry.

lg, irie

Hi,

die mit Windows drauf....

Noch zwei Sachen:

......RegisterySearch:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Zitat:

nm.sys

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Danach bitte noch nach:

Zitat:

NMnt.sys

suchen.

Online bitte prüfen (virustotal):
C:\WINDOWS\system32\DRIVERS\NMnt.sys

chris

Ps.: Wenn Du die commandline öffnest (cmd.exe), dann kannst Du durch die Eingabe von
cd \Pfad_wo_ich_hinmöchte das Verzeichnis wechseln (CD=change Directory)
In Deinem Fall würde ein C:\ genügen um auf C.\ zu kommen

hier schon mal die ergebnisse von registry search zu nm.sys

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 06.04.2009 16:49:13 for strings:
; 'nm.sys '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Hier die Ergebnisse zu NMnt.sys:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 06.04.2009 16:53:07 for strings:
; 'nmnt.sys'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nm]
; Contents of value:
; system32\DRIVERS\NMnt.sys
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\
00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nm]
; Contents of value:
; system32\DRIVERS\NMnt.sys
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\
00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nm]
; Contents of value:
; system32\DRIVERS\NMnt.sys
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\
00,79,00,73,00,00,00

; End Of The Log...

Hi,

hast Du oben die Anweisung im vorangegangen Post gesehen, wie Du in der CMD das Verzeichnis wechseln kannst?

Bin jetzt weg, morgen wieder erreichbar...

chris

Hier die Ergebnisse (hab auf Permalink geklickt und dann kam folgendes):

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.04.06	-
AhnLab-V3	5.0.0.2	2009.04.06	-
AntiVir	7.9.0.138	2009.04.06	-
Antiy-AVL	2.0.3.1	2009.04.06	-
Authentium	5.1.2.4	2009.04.05	-
Avast	4.8.1335.0	2009.04.06	-
AVG	8.5.0.285	2009.04.06	-
BitDefender	7.2	2009.04.06	-
CAT-QuickHeal	10.00	2009.04.06	-
ClamAV	0.94.1	2009.04.06	-
Comodo	1101	2009.04.06	-
DrWeb	4.44.0.09170	2009.04.06	-
eSafe	7.0.17.0	2009.04.06	-
eTrust-Vet	31.6.6435	2009.04.03	-
F-Prot	4.4.4.56	2009.04.05	-
F-Secure	8.0.14470.0	2009.04.06	-
Fortinet	3.117.0.0	2009.04.06	-
GData	19	2009.04.06	-
Ikarus	T3.1.1.49.0	2009.04.06	-
K7AntiVirus	7.10.694	2009.04.06	-
Kaspersky	7.0.0.125	2009.04.06	-
McAfee	5575	2009.04.05	-
McAfee+Artemis	5575	2009.04.05	-
McAfee-GW-Edition	6.7.6	2009.04.06	-
Microsoft	1.4502	2009.04.06	-
NOD32	3989	2009.04.06	-
Norman	6.00.06	2009.04.06	-
nProtect	2009.1.8.0	2009.04.06	-
Panda	10.0.0.14	2009.04.05	-
PCTools	4.4.2.0	2009.04.06	-
Prevx1	V2	2009.04.06	-
Rising	21.23.41.00	2009.04.03	-
Sophos	4.40.0	2009.04.06	-
Sunbelt	3.2.1858.2	2009.04.04	-
Symantec	1.4.4.12	2009.04.06	-
TheHacker	6.3.4.0.302	2009.04.06	-
TrendMicro	8.700.0.1004	2009.04.06	-
VBA32	3.12.10.2	2009.04.06	-
ViRobot	2009.4.6.1680	2009.04.06	-
VirusBuster	4.6.5.0	2009.04.05	-
weitere Informationen
File size: 40320 bytes
MD5...: 1e421a6bcf2203cc61b821ada9de878b
SHA1..: 827c14898fab0cdbfb4efa11cb15900534c2c7b4
SHA256: c658f1d5dce7525cf929c65c46ab2881c99d89bf8f0f61c1d440c9d9bfb2f89f
SHA512: bb424f813ef1643eaa7096be9efcbf64d094fc66ce40a48020b64660af031941
06aaf331a73b067134b5ac9eecbc1865330c1c67974bba7e2cfa3aa1d94b1f01
ssdeep: 768:zV0A/zwUcOklfxDppd4o2g7whSoOZiY1MRE+h2Uzcy+ZK:zV08qOklfx/d4h
g7whGijR9p5
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8983
timedatestamp.....: 0x48025692 (Sun Apr 13 18:53:06 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x63bc 0x6400 6.36 58fc79ddb5dfc7909d685fe899f9bf63
.rdata 0x6700 0x224 0x280 3.23 5332f9b33393b2f710be6cc487ecc793
.data 0x6980 0x1c0 0x200 1.39 6935d7c9d77abe8312f1fdcc300e957c
PAGE 0x6b80 0x1bbb 0x1c00 5.92 918478f26bc733624e7b5884e6ef26d5
INIT 0x8780 0xb46 0xb80 5.67 9dd339a67fc0ea6400c34b30f6c39b19
.rsrc 0x9300 0x3d8 0x400 3.32 1939d0e2d79884725dc05af3c982e711
.reloc 0x9700 0x618 0x680 5.73 1c0a4115a4989fe4983099078ff3ad0a

( 4 imports )
> ntoskrnl.exe: ZwSetValueKey, RtlEqualUnicodeString, RtlUnicodeStringToAnsiString, RtlInitAnsiString, ZwCreateKey, ExInterlockedFlushSList, MmMapLockedPagesSpecifyCache, IofCompleteRequest, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, wcslen, KeQuerySystemTime, KeNumberProcessors, KeQueryInterruptTime, RtlCompareMemory, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, memmove, ZwQueryValueKey, KeResetEvent, KeWaitForSingleObject, KeInitializeEvent, KeSetEvent, ExfInterlockedRemoveHeadList, IoFreeMdl, InterlockedPopEntrySList, InterlockedPushEntrySList, MmMapLockedPages, KeCancelTimer, KeInitializeTimer, KeInitializeDpc, KeSetTimer, ExInterlockedAddLargeStatistic, KeTickCount, KeQueryTimeIncrement, KeBugCheckEx, RtlQueryRegistryValues, ZwClose, RtlInitUnicodeString, ZwOpenKey, IoGetCurrentProcess, ExAcquireResourceExclusiveLite, IoSetShareAccess, SeAssignSecurity, IoRemoveShareAccess, ExReleaseResourceLite, ExQueueWorkItem, SeDeassignSecurity, _except_handler3, ExFreePoolWithTag, ExfInterlockedPopEntryList, ExAllocatePoolWithTag, ExfInterlockedPushEntryList, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, ExDeleteResourceLite, IoDeleteDevice, IoCreateDevice, KeInitializeSpinLock, _alldiv, ExInitializeResourceLite
> HAL.dll: KfReleaseSpinLock, KfLowerIrql, KfRaiseIrql, KfAcquireSpinLock
> NDIS.SYS: NdisCopyBuffer, NdisCompletePnPEvent, NdisRegisterProtocol, NdisUnchainBufferAtFront, NdisFreePacket, NdisCloseAdapter, NdisCopyFromPacketToPacket, NdisAllocatePacketPoolEx, NdisSetPacketPoolProtocolId, NdisAllocateBufferPool, NdisRequest, NdisDeregisterProtocol, NdisFreePacketPool, NdisFreeBufferPool, NdisAllocateBuffer, NdisAllocatePacket, NdisOpenAdapter
> TDI.SYS: TdiCopyBufferToMdl

( 0 exports )
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch
         

Hab deine Anweisungen zu cmd gelesen, aber leider komm ich da trotzdem nicht weiter. Nach der Eingabe von ausführen --> cmd kommt dann der schwarze kasten und da steht dann voreingestellt C:\Dokumente und Einstellungen\Hp_Besitzer\...was soll ich dann daran direkt anhängen?

Hi,

einfach in den "Kasten" bitte cd \ und dann Datenfreigabe eingeben...
Die Commandline wechselt dann in das Root-Verzeichnis von C, dort wo Du auch MBR.EXE abgelegt hast, dann sollte das mit dem Aufruf klappen...

chris

hey,

also die eingabe hat jetzt endlich geklappt hatte ständig den doppelpunkt mit eingegeben nach cd.

so und die reportdatei sieht so aus:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

alles richtig gemacht?
lg, irie