Wir haben ein paar Einträge und Dateien mit OTL gefixt.

Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Habe das jetzt wie du gesagt hast gemacht, wo erscheint denn der upload jetzt???

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Wenn ich GMER starten will, stürzt der PC ab! AUch beim zweiten Versuch. So, also dann nur das osam - Logfile. MBRCheck mache ich gleich noch...!

so und jetzt habe ich auch MBRCheck .txt - Datei!!!

Zitat:

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0

Ist leider unvollständig...

Wenn ich aber MBRCheck ausführe und soweit komme, wird das Logfile auf dem Bildschirm angezeigt!!! Wenn ich anschließend MBRCheck weiterlaufen lasse passiert nichts, bis er abstürzt, wenn ich ihn beende stürzt er ab (mit er ist mein pc gemeint...)


Info: Der PC stürzt ab dann folgt blue screen, dass der pc heruntergefahren wurde um das system nicht zu beschädigen! beim GMER hat der pc einfach so neugestartet und dann eine fehlermeldung die ich in der fehlerbeschreibung (1. beitrag) bereits geschrieben habe!

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Habe zwar keine anderen betriebssystem drauf, aber vor der Neuinstallation von win xp wurde der rest nicht komplett entfernt (d.h. die benuter sind in Dokumente und Einstellungen noch zu finden)!!

Soll ich jetzt dass mit dem bootmenü machen?? Das Bootmenü ist doch das was nur 2 sek angezeigt wird, oder??? Was ist denn der Bootkit Remover??

Ja, das Bootmenü was für weninge Sekunden angezeigt wird, da die Recovery Console starten. Und ich meinte eigentlich mbrcheck und nicht bootkit remover sry

Habe es jetzt so mit der Wiederherstellungskonsole gemacht, wie du es meintest. Doch beim MBRCheck kam nichts anderes heraus. Habe es trotzdem angehängt. Immer bei der Zeile, wo das mit dem PhysicalDrive0 steht, hört er auf und der Pc stürzt ab -> Bluescreen, dass der PC heruntergefahren wurde...!

Andere Frage: Hat das mit dem Upload (Quarantäneverzeichnis) etwas ergeben???

Dann ist der MBR auch okay wenn er über die WHK neu geschrieben wurde.
Dein Qoobox war recht unauffällig, aber eine manipulierte winlogon.exe wurde gefunden. Da leider nicht genau hervor geht, ob diese von CF gefixt wurde, wäre ich dafür, dass wir diese nochmal händisch glattziehen:

Wir müssen beim shutdowner zwei Datei ersetzen, bitte runterladen und entpacken, direkt nach c: ins Hauptverzeichnis => c:\cosinus

Dann gehts so weiter:

PartedMagic

• Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 150 MB sein
• Brenn die ISO-Datei per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
• Boote den Rechner mit (defektem) Windows von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist
  
  
  
  
  
  
• Du müsstest ein Symbol Mount Devices finden, das doppelklicken
  
  
  
  
  
  
• Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
  
• Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  /media/[LW C]/windows/system32/winlogon.exe.vir
  /media/[LW C]/windows/explorer.exe.vir
           

• Die sauberen Dateien aus dem cosinus ordner in den jew. Windows-Systempfad kopieren
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  /media/[LW C]/cosinus/winlogon.exe => /media/[LW C]/windows/system32/winlogon.exe
  /media/[LW C]/cosinus/explorer.exe => /media/[LW C]/windows/explorer.exe
           

  (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)
  
  
• Starte den Rechner neu und boote Windows
  
• Falls Windows wieder normal bootet => die in Linux umbenannt Datei (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Gib Bescheid wenn alles durch ist.

Danke für deine Beschreibung zur weiteren Vorgehensweise! Ich kenne mich aber leider damit nicht so aus und habe daher noch die ein oder andere frage:
1. du sprichst von linux -> ich habe linux ja nicht...
2. Was heißt das mit dem defekten Windows booten??? Welches genau soll ich da denn booten???
3. Wie boote ich von der CD???
4. Das ab "Mounte die Partition" verstehe ich nicht mehr...
Tut mir leid, dass ich dich mit so etwas nerve, aber ich kenne mich einfach nicht aus mit so etwas...!

Zitat:

1. du sprichst von linux -> ich habe linux ja nicht...

hast du die Anleitung gelesen? Ich glaube nicht. Die Anleitung setzt kein installiertes Linux voraus, deswegen steht da ja auch, dass du das Image downloaden und brennen sollst!!

Zitat:

2. Was heißt das mit dem defekten Windows booten??? Welches genau soll ich da denn booten???

Die Anleitung ist universell geschrieben!! Für den Fall, dass du ein nicht mehr startenden Windows-Rechner hast und die CD auf einem anderen Rechner brennen musst, ist das der Hinweis, dass du den nicht mehr startenden Rechner von dieser CD bootest!!

Zitat:

3. Wie boote ich von der CD???

Ein paar Dinge kann man durchaus selbst mit Google etc. rausfinden!!
http://www.trojaner-board.de/81857-c...cd-booten.html

Zitat:

4. Das ab "Mounte die Partition" verstehe ich nicht mehr...

Wenn du soweit bist ist das selbsterklärend!

Danke für die Beantwortung der Fragen! Werde aber an dieser Stelle erst morgen gegen Mittag fortfahren, sodass ich mich dann vsl. erst morgen Nachmittag wieder melde!

Gruß gidius