Hallo Leute,
ich bin durch Google auf dieses board aufmerksam geworden.
Hier scheinen sich ja einige Experten dabei zu sein, hoffentlich kann jemand bei meinem Problem helfen.
Bei meinem alten Rechner konnte ich vor 2 Jahren nicht mehr auf die Festplatten zugreifen, habe das für ein Hardwarefehler gehalten und nach etlichen Stunden fehlersuche einfach aufgegeben und mir einen neuen Rechner geholt.
Gestern bekam ich dieses Problem schon wieder, der PC bleibt hängen, die Festplatte macht klackende Geräusche und beim reboot wird die Platte nicht mehr gefunden.
Hier kann ja nur ein Virus am Werke sein, der mir anscheinend den MBR zerstört.
Deswegen habe ich mir, wie bei den FAQs beschrieben, den Bootkit Remover heruntergeladen und nach einigen Versuchen auch auf dem defekten PC laufen lassen. Hier jetzt das Ergebniss:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000007`bab58800
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Aber wie kann ich jetzt diesen Virus loswerden, Antivir findet ihn jedenfalls nicht.
Ich bin für jede Hilfe dankbar.

Zitat:

Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Die Prüfsumme kommt mir bekannt vor, die sollte i.O. sein.

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Danke für die Antwort,
leider kann ich z.Z. den Rechner nicht mehr starten weil der MBR oder die Partitionstabelle defekt ist, die Festplatte wird schon im Bios nicht mehr erkannt.
Reparieren mit WindowsCD ist somit auch nicht drin.
Ich hab da die "Hirens Boot CD" rumliegen, kann man damit wohl die Partitionstabelle wiederherstellen?
Oder kennt jemand ein DOS-Tool das mir da helfen könnte?

Zitat:

die Festplatte wird schon im Bios nicht mehr erkannt.

Wie willst du den MBR richten, wenn die Platte nicht mehr erkannt wird

Ich habe es gestern geschafft, den PC wieder zum Leben zu erwecken.
Das Programm "Testdisk" auf der Hirens BootCD hat da geholfen.
Dann wurde von XP chkdsk ausgeführt und der Rechner fährt wieder sauber hoch.
Der MBR check gibt jetzt erstmal einen XP Code aus:

Zitat:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00001ffd

Kernel Drivers (total 136):
0x804D7000 \WINXP\system32\ntoskrnl.exe
0x806EF000 \WINXP\system32\hal.dll
0xF7987000 \WINXP\system32\KDCOM.DLL
0xF7897000 \WINXP\system32\BOOTVID.dll
0xF75F7000 tnti.sys
0xF7507000 ACPI.sys
0xF7989000 \WINXP\system32\DRIVERS\WMILIB.SYS
0xF74F6000 pci.sys
0xF7607000 isapnp.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINXP\system32\DRIVERS\PCIIDEX.SYS
0xF7617000 MountMgr.sys
0xF74D7000 ftdisk.sys
0xF798B000 dmload.sys
0xF74B1000 dmio.sys
0xF770F000 PartMgr.sys
0xF7627000 VolSnap.sys
0xF7499000 atapi.sys
0xF7637000 disk.sys
0xF7647000 \WINXP\system32\DRIVERS\CLASSPNP.SYS
0xF7479000 fltMgr.sys
0xF7467000 sr.sys
0xF7657000 PxHelp20.sys
0xF7450000 KSecDD.sys
0xF7B52000 Ntfs.sys
0xF7423000 NDIS.sys
0xF7ACF000 timntr.sys
0xBA714000 tdrpm174.sys
0xBA6F4000 snman380.sys
0xBA6DA000 Mup.sys
0xBA5F2000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB81B4000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
0xB81A0000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB8178000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF781F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB8154000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF773F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB80E1000 \SystemRoot\system32\DRIVERS\ar5211.sys
0xF7697000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA53E000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7747000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB80CD000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7687000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF76A7000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF76B7000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB80AA000 \SystemRoot\system32\DRIVERS\ks.sys
0xF79B5000 \SystemRoot\system32\DRIVERS\serscan.sys
0xF7A70000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF76C7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA532000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB8093000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF76D7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF76E7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF774F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB8082000 \SystemRoot\system32\DRIVERS\psched.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB49A5000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB499D000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB02F6000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB57FA000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB4995000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB498D000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7A01000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB0270000 \SystemRoot\system32\DRIVERS\update.sys
0xBA572000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB0242000 \SystemRoot\system32\DRIVERS\MarvinBus.sys
0xB57DA000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x9FCBB000 \SystemRoot\system32\drivers\RtkHDAud.sys
0x9FC97000 \SystemRoot\system32\drivers\portcls.sys
0xB57CA000 \SystemRoot\system32\drivers\drmk.sys
0x9D0E6000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79EF000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x9CE29000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF79F1000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x9CA3B000 \SystemRoot\System32\Drivers\Null.SYS
0xF79F3000 \SystemRoot\System32\Drivers\Beep.SYS
0x9C753000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x9C74B000 \SystemRoot\System32\drivers\vga.sys
0xF79F5000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79F7000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x9C743000 \SystemRoot\System32\Drivers\Msfs.SYS
0x9C73B000 \SystemRoot\System32\Drivers\Npfs.SYS
0x9CA09000 \SystemRoot\system32\DRIVERS\rasacd.sys
0x9BC2D000 \SystemRoot\system32\DRIVERS\ipsec.sys
0x9BBD4000 \SystemRoot\system32\DRIVERS\tcpip.sys
0x9BBAC000 \SystemRoot\system32\DRIVERS\netbt.sys
0x9BB1C000 \SystemRoot\System32\vsdatant.sys
0x9BAF6000 \SystemRoot\system32\DRIVERS\ipnat.sys
0x9D0A6000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x9BAD4000 \SystemRoot\System32\drivers\afd.sys
0x9C7EB000 \SystemRoot\system32\DRIVERS\netbios.sys
0x9BE48000 \SystemRoot\System32\Drivers\StarOpen.SYS
0x9BE40000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x9BAA9000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x9C3B7000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
0x9BA39000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB4985000 \??\D:\Programme\iZ3D Driver\Win32\S3DInjectionDriver.sys
0xB125B000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x9C7DB000 \SystemRoot\System32\Drivers\Fips.SYS
0x9BA13000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x9DB4A000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB123B000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x9BD74000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x9C7AB000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB02E6000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB02E2000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x9C77B000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x9B9FB000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xB6B2B000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB4AD9000 \SystemRoot\System32\drivers\Dxapi.sys
0x9D594000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7AB8000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL
0x9B9E6000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB9074000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
0xB0485000 \SystemRoot\system32\DRIVERS\AegisP.sys
0x9B9BA000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB49C5000 \??\C:\Programme\CheckPoint\ZAForceField\ISWKL.sys
0x9B829000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB478D000 \SystemRoot\System32\Drivers\ParVdm.SYS
0x9B74E000 \SystemRoot\System32\Drivers\SENTINEL.SYS
0x9B70B000 \SystemRoot\system32\DRIVERS\atksgt.sys
0x9D574000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0x9B4F5000 \SystemRoot\system32\DRIVERS\srv.sys
0x9B14F000 \??\C:\WINXP\system32\FsUsbExDisk.SYS
0x9AF02000 \SystemRoot\system32\drivers\wdmaud.sys
0x9DD46000 \SystemRoot\system32\drivers\sysaudio.sys
0x9AAEB000 \SystemRoot\System32\Drivers\HTTP.sys
0x9A50A000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB43C9000 \SystemRoot\System32\drivers\SFC4.sys
0x7C910000 \WINXP\system32\ntdll.dll

Processes (total 65):
0 System Idle Process
4 SYSTEM
680 C:\WINXP\system32\smss.exe
888 C:\WINXP\system32\csrss.exe
912 C:\WINXP\system32\winlogon.exe
956 C:\WINXP\system32\services.exe
968 C:\WINXP\system32\lsass.exe
1132 C:\WINXP\system32\svchost.exe
1192 C:\WINXP\system32\svchost.exe
1232 C:\WINXP\system32\svchost.exe
1348 C:\WINXP\system32\svchost.exe
1396 C:\WINXP\system32\svchost.exe
1456 C:\WINXP\system32\ZoneLabs\vsmon.exe
1756 C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe
1812 C:\WINXP\system32\spoolsv.exe
1856 C:\WINXP\system32\acs.exe
1880 C:\Programme\Avira\AntiVir Desktop\sched.exe
1900 C:\Programme\Avira\AntiVir Desktop\avguard.exe
2032 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
892 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
1116 C:\Programme\AskBarDis\bar\bin\AskService.exe
1308 C:\Programme\Brother\BRAdmin Professional 3\bratimer.exe
1496 C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
1072 C:\WINXP\system32\FsUsbExService.Exe
1988 C:\Programme\Java\jre6\bin\jqs.exe
2100 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
2228 D:\Programme\iZ3D Driver\Win32\S3DCService.exe
2256 C:\WINXP\system32\svchost.exe
2268 C:\Programme\Google\Update\GoogleUpdate.exe
2960 C:\WINXP\system32\alg.exe
3500 C:\Programme\CheckPoint\ZAForceField\ForceField.exe
3572 C:\WINXP\explorer.exe
404 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
456 C:\WINXP\system32\igfxtray.exe
1360 C:\WINXP\system32\hkcmd.exe
1364 C:\WINXP\system32\igfxpers.exe
2180 C:\WINXP\system32\igfxsrvc.exe
1476 C:\Programme\TP-LINK\TWCU\TWCU.exe
2340 C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
2464 C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
2568 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
3008 C:\Programme\Java\jre6\bin\jusched.exe
3052 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
3080 C:\WINXP\RTHDCPL.exe
3120 D:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
3424 D:\Programme\Mouse Driver\Mouse_2k.exe
3532 C:\Programme\Keyboard Driver\Keyboard Driver\Ikeymain.exe
3720 C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb04.exe
3896 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
4056 C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
4092 C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
352 D:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
372 C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
3564 C:\Programme\Brother\ControlCenter3\BrccMCtl.exe
1556 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
2664 C:\Programme\Brother\Brmfcmon\BrMfimon.exe
2584 C:\WINXP\system32\ctfmon.exe
3136 D:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
3384 C:\WINXP\system32\wuauclt.exe
2912 D:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe
4080 C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
2924 D:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
416 C:\WINXP\twain_32\A4CIS600\WATCH.exe
3496 C:\WINXP\system32\wuauclt.exe
3544 D:\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000007`bab58800 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000011`7e925c00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000029`e8f57600 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000006f`8e6c1400 (NTFS)
\\.\K: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD501LJ, Rev: CR100-12

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Anschließend habe ich durch Malewarebytes nach Schädlingen gesucht, dabei wurden 4 Infektionen gefunden und isoliert, war wohl einer davon der Übeltäter??

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5725

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

10.02.2011 01:27:38
mbam-log-2011-02-10 (01-27-38).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142806
Laufzeit: 5 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 2916 -> Unloaded process successfully.
c:\programme\gemeinsame dateien\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> 3424 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\WINXP\server.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully.

Hoffentlich ist der Rechner jetzt sauber!
Gruß theruf