mbrcheck findet einen unbekannten MBR.

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Vista installiert?
Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

Hi Arne,
irgendwie bin ich nicht sicher, ob das alles richtig war. Alles neu für mich...
- Bei mir ist nur Vista installiert
- Von Dr.Windows das vista_recover_x86.iso runtergeladen
- ImgBurn runtergeladen und installiert
- Mit ImgBurn das iso-File auf CD gebrannt
- Nach einigem Herumprobieren über F12 ins Bios und dort Start von CD an erste Stelle
- Rechner von CD neu gestartet. Dabei laufen folgende Schritte ab:
* Windows loading files
* Windows installieren: Abfrage von Sprache, Zeit, Tastatur => Weiter
* "Computerreparaturoptionen" gedrückt: Windowsinstallationen werden gesucht => MS Vista gefunden => Weiter
* Screen "Systemwiederherstellungsoptionen" geht auf mit folgenden Optionen:
a) Systemstartreparatur
b) Systemwiederherstellung
c) Windows Complete PC-Wiederherstellung
d) Windows-Speicherdiagnosetool
e) Eingabeaufforderung

Da nicht wie von Dir beschrieben eine Konsole aufging, habe ich die Eingabeaufforderung gestartet (eine Art DOS-Prompt?) und dort hinter X:\Sources> bootrec.exe /fixboot eingetragen.
Dies führt zu einer Meldung, dass kein erkanntes Dateisystem auf dem Datenträger vorhanden ist.
Habe danach bootrec.exe /fixmbr eingegeben. Das wurde erfolgreich ausgeführt.
Habe dann noch die Systemstartreparatur ausgeführt mit Ergebnis "Starthilfe hat kein Problem erkannt".
Ich weiss somit nicht, ob das bis hierher alles korrekt war.

Habe nach Neustart (ohne CD) den MBRCheck laufen lassen.
Diesmal läuft er durch, erzeugt aber keinen Log auf dem Desktop.
Hänge daher wieder das .gif dran.

Zuletzt habeich nochmals GMER laufen lassen. Beim ersten Versuch wieder Abbruch, 2.Versuch erfolgreich.
Hier der Log:
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15572 - hxxp://www.gmer.net
Rootkit scan 2011-05-04 00:06:28
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD32 rev.11.0
Running: 41r0c2wf.exe; Driver: C:\Users\rstarke\AppData\Local\Temp\pxliqfow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                                 section is writeable [0x8EA0F360, 0x35BB38, 0xE8000020]
                C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl                                                   entry point in "" section [0xA3932000]
.clc            C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl                                                   unknown last section [0xA3933000, 0x1000, 0x00000000]

---- User code sections - GMER 1.0.15 ----

.text           C:\Windows\Explorer.EXE[3212] SHELL32.dll!SHGetFolderPathAndSubDirW + 81C5                               75E1B37C 4 Bytes  [F0, 1F, 00, 10]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                    [74477817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                     [744CA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                 [7447BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]           [7446F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                     [744775E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                  [7446E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]      [744A8395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]         [7447DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                 [7446FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                  [7446FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                   [744671CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]           [744FCAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]              [7449C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                 [7446D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                           [74466853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                          [7446687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]             [74472AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread]              [10002300] C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread]  [10001B30] C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]            [10002690] C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated)
IAT             C:\Windows\Explorer.EXE[3212] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]              [10001290] C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                  Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                  Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)

Device          \Driver\BTHUSB \Device\00000080                                                                          bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device          \Driver\BTHUSB \Device\00000082                                                                          bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BthPort\Parameters\Keys\001e4cd1bd39                              
Reg             HKLM\SYSTEM\ControlSet003\Services\BthPort\Parameters\Keys\001e4cd1bd39 (not active ControlSet)          

---- EOF - GMER 1.0.15 ----
         

--- --- ---

Wie geht es nun weiter?
Danke und viele Grüße,
Reinhard

Zitat:

Da nicht wie von Dir beschrieben eine Konsole aufging, habe ich die Eingabeaufforderung gestartet (eine Art DOS-Prompt?)

Das war auf jeden Fall erfolgreich und auch richtig was du gemacht hast, genau diese Konsole zum manuellen Eintippen und Ausführen von Befehlen solltest du nehmen. Und wie du siehst erkennt MBRcheck jetzt auch einen vernünftigen MBR.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Arne,
ich hoffe dass wenigstens Du schon schläfst Mich hat der eine SuperAnti-Scan von über 2 Stunden bis jetzt aufgehalten...
Danke für Deine Erklärungen und Deine Geduld.
Habe folgendes ausgeführt:
- Malwarebytes gestartet, dabei wurde auf Update hingewiesen. Update gestartet, ist aber mit Error abgebrochen.
- Malwarebytes deinstalliert
- Auf dem Weg ins Forum zur Neuinstallation ist mein Rechner komplett eingefroren. Ging gar nichts mehr. Harter Abbruch/Neustart.
- Malwarebytes neu installiert, upgedated und Fullscan laufen lassen.
=> Ein infiziertes Objekt gefunden
=> Entfernt

Hier der Log:
******************
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6506

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

04.05.2011 21:27:13
mbam-log-2011-05-04 (21-27-12).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 291301
Time elapsed: 1 hour(s), 3 minute(s), 38 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qkkFOrQYoBSQl (Rogue.Agent.SA) -> Value: qkkFOrQYoBSQl -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
******************

- SuperAntiSpyware runtergeladen
- Mit meinem Adminuser angemeldet und für alle User installiert
- Alle weiteren Schritte bis zum Log laut Anleitung ausgeführt.
=> Nach über 2 Stunden beendet
=> Hier der Log:
******************
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/05/2011 at 00:17 AM

Application Version : 4.51.1000

Core Rules Database Version : 6988
Trace Rules Database Version: 4800

Scan type : Complete Scan
Total Scan Time : 02:03:47

Memory items scanned : 838
Memory threats detected : 0
Registry items scanned : 9084
Registry threats detected : 0
File items scanned : 168521
File threats detected : 0
******************

Alles ab Schritt 4 der Anleitung habe ich nicht mehr ausgeführt, da es wohl nichts zu löschen gibt. Warte auf Deine Anweisungen, ob da noch etwas zu tun ist mit neuem Booten oder ähnliches.

Was mich noch etwas verwundert hat, wo ich aber nicht weiss ob es mit dem Virus zusammenhängt ist, dass ich als Adminuser mein Word-File, in dem ich den Ablauf grob festhalte, zwar unter "Dokumente" des anderen Users öffnen , aber nicht mehr abspeichern konnte (Ordner schreibgeschützt). Zum einen weiss ich nicht, warum die Ordnerstruktur schreibgeschützt is, zum anderen habe ich das Häkchen bei den Properties entfernt, woraufhin die gesamte Struktur (angeblich) auf nicht schreibgeschützt gesetzt wurde. Beim nächsten Versuch war aber immer noch alles schreibgeschützt. Bekomme es nicht weg... Falls Dir dazu etwas einfällt, bin ich für alles dankbar.

Bitte lass mich wissen, wie es weiter geht.
Nochmals vielen Dank und Grüße,
Reinhard

Sieht ok aus, da wurden nur ein Überrest gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Arne,
zunächst noch einmal vielen herzlichen Dank für Deine schnelle und geduldige Unterstützung. Auch wenn ich nicht allzu viel davon verstanden habe, was ich auf Deine Anweisung durchgeführt habe, so habe ich dennoch in der letzten Woche mehr über meinen Rechner erfahren als in vielen Jahren zuvor.

Dennoch hätte ich nun noch einige - hoffentlich abschließende - Probleme und Fragen:
1) Bereits vor dem Virusbefall ist der Rechner immer wieder für ein paar Minuten "eingefroren", bevor er sich wieder bedienen ließ. In den letzten Tagen war das häufiger und in kürzeren Abständen der Fall als zuvor. Hast Du Ideen oder Ansätze, woran das liegt, ob es etwas mit dem Virus zu tun hatte und was ich machen sollte um das zu beheben?
2) Ist durch eines der installierten Programme eine Prüfung aktiviert worden, die mir nach dem Rechnerstart mitteilt, dass einige Autostartprogramme blockiert wurden? Diese Info hatte ich früher nicht erhalten
3) Was mache ich nun mit den installieren Programmen oder Verzeichnissen?
a) Ordner _OTL: Löschen?
b) Welche Programme kann ich denn selbst immer wieder mal laufen lassen oder anderweitig nutzen, ohne etwas kaputt zu machen?
- Malwarebytes
- SuperAntiSpyWare
- OTL
- CCleaner
- Combofix
- GMER
- OSAM
- MBRCheck
- Unhide
- ImgBurn

3) Da ich Avira Antivir auf dem Rechner habe, verträgt sich das z.B. mit SuperAntiSpyWare?

Wäre super, wenn Du mir noch mitteilen könntest, was davon ich deinstallieren/löschen kann/sollte und was dauerhaft brauchbar wäre.

Vielen Dank und Grüße,
Reinhard

1) Beachten und umsetzen => http://www.trojaner-board.de/71631-p...samer-tun.html

2) Fehlermeldung "Einige Autostartprogramme wurden geblockt" beim Starten eines Windows Vista-Computers

3) Die können alle wieder runter

a) ja
b) nur Malwarebytes hin und wieder wäre was, ist aber kein Muss. Natürlich muss es vor jedem Scan aktualisiert werden!

4) SASW sollst du wieder deinstallieren


Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hi Arne,
auch jetzt noch einmal vielen Dank für die letzten Infos und Tips.
Um 1) und 2) werde ich mich noch in Ruhe kümmern.
3) Bis auf Malwarebytes,7-Zip und ImgBurn habe ich alles andere entfernt oder deinstalliert
4) SASW ebenfalls deinstalliert

Bezüglich der Updates folgenden Stand:
- Vista hat neuesten Stand
- Adobe Reader deinstalliert
- FoxIt installiert (dazu auch noch PDF Creator)
- Adobe Flash Player installiert
- Java habe ich bisher wohl nicht auf dem Rechner

für alle Tips, Anleitungen und geduldigen Erklärungen.
Und weiter viel Erfolg bei der Unterstützung von naiven Geplagten wie mir

Viele Grüße,
Reinhard

Viel Erfolg bei der Updaterei und virenfreies Surfen!