|
Zitat:
1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist http://partedmagic.com/lib/exe/fetch...ia=desktop.png 4. Du müsstest ein Symbol PartitionEditor auf dem Desktop finden, das doppelklicken 5. Wenn das Tool die Partitionen aufgelistet hat, bitte einen Screenshot mit Hilfe der Taste DRUCK auf der Tastatur erstellen, diesen Screenshot hier posten (idR hast du einen Internetzugang mit PartedMagic, wenn nicht einfach den Screenshot auf einem Stick abspeichern und unter Windows hier posten) |
Liste der Anhänge anzeigen (Anzahl: 2) Ok. Ich hab nen Screenshot gemacht. Dabei ist mir aufgefallen, dass die Partitionen nicht gemounted waren. Kann sein, dass ich das letzte mal als ich mit Gparted gearbeitet habe, dies vergessen hab. Windows scheint die Partitionen ja anscheinend automatisch zu mounten. Deshalb noch der 2. Screenshot von den gemounteten Partitionen. Hier noch das Log, was der Partitionierung-Editor ausgegeben hat beim Befehl "repair" (oder so). Hängen die bad sectors mit meinen Problemen zusammen oder ist das einfach dem Alter der Platte zu schulden (ca. 5 Jahre). Code: GParted 0.6.2-git |
Wenn du mit GParted die Partitionen ändern willst dürfen diese NICHT gemountet sein! Darum gehts aber auch eigentlich jetzt garnicht, ich wollte nur den Screenshot von GParted sehen. Ich wollte auch kein repait sehen, wieso machst du sowas, stand das in meiner letzten Anweisung? :( |
Sorry, ich merk schon: Immer bei der Sache bleiben. :twak: Mir war das nur schon vorher aufgefallen und ich wusste nicht, wie ich die Infos über die fehlerhaften Sectoren sonst hier rein bringen könnte. Deshalb hab ich die repair-Funktion benutzt, um an das Log zu kommen. Werd mich ab jetzt nur noch an die Anweisungen halten.:pfui: Gibt es noch etwas zu tun? Der Screenshot ist hoffentlich richtig erstellt!? Gruß radler |
Ja der Screenshot ist richtig :) Klick mal mit rechts den unteren nicht zugeordneten 10,34 MiB Happen an und sag Info => davon einen neuen Screenshot machen und posten. |
Liste der Anhänge anzeigen (Anzahl: 1) So. Anweisung ohne Nebentätigkeiten ausgeführt ;) |
Ok, dann hätte ich alle Infos. Möchtest du den Sektor mit bösem Code überschreiben? Der liegt in diesem nicht zugeordneten Bereich. |
Meinst du mit bösem Code den Trojaner / das Rootkit, den wir entfernt (?) haben oder die fehlerhaften Sektoren? Hört sich für mich jedenfalls vernünftig an, etwas "Böses" zu überschreiben :daumenhoc Was schlägt der Experte vor? Falls der dacor ist, welche Prodezur muss ich durchführen? Grüße Radler |
Ich meine damit das hier überschreiben => Code: 14:37:55.203 Disk 0 scanning sectors +156280320Möchtest du den Bereich überschreiben lassen? Wenn ja dann bitte jetzt sorgfältig lesen und zuerst eine Sicherung aller Daten machen! Wenn die Sicherung erfolgte alle Sicherungsmedien vom Computer physikalisch trennen! Wie gesagt was jetzt folgt und du hast Datenverluste seist du jetzt nochmal ausdrücklich gewarnt, alles richtig umzusetzen und vorher alles wichtige auf externe Platten zu sichern. Wenn du sicher bist, dass alle wichtige Daten in Sicherheit sind und die externen Datenträger auch nicht mehr am Rechner angeschlossen sind, dann fahre fort wir folgt: Öffne das Terminal in PartedMagic. Ist unten in der Quicklaunch der schwarze Monitor. Eine schwarze Konsole öffnet sich. Tipp dort ein (du solltest root@partedmagic in der Zeile lesen können) WARNUNG: Folgender Befehl auf eigene Gefahr! Für Datenverluste nicht rumheulen und wer das mitliest soll den Befehl ebenfalls nicht so ausführen!! Bitte lieber eher 3x als 2x prüfen ob du alles so richtig eingetippt hast NACH der Datensicherung: Code: dd if=/dev/zero of=/dev/sda seek=156280321 bs=51221168+0 Datensätze ein 21168+0 Datensätze aus Wenn das so rauskaum (können auch 21167 statt 21168 sein) wurden die letzten 21168 Sekoren (und damit auch der bösartige Code in diesem unzugeordneten Bereich) auf der Platte mit Nullen überschrieben; starte den Rechner neu und boote Windows. Mach dort einen neuen scan mit aswMBR und poste wieder das Log. |
Sorry, dass ich so lang nix hören lassen hab. War erst im Urlaub und hab jetzt die nächsten Wochen einige sehr wichtige berufliche Projekte, bei denen ich meinen Laptop brauche. Deshalb wag ich mich gerade nicht an die Überschreib-Aktion ran. Ich sag Bescheid, wenn ich es durchgeführt habe. Der Code ist ja nicht mehr aktiv ... oder kann man das so nicht sagen? Ein ganz großes Dankeschön jedenfalls an dich, cosinus, dass du mir so kompetent und geduldig geholfen hast. Eine Spende an das Trojaner-Board ist unterwegs. Grüße radler |
Liste der Anhänge anzeigen (Anzahl: 1) So, jetzt hab ich mich endlich ran getraut. Mir war die Sache die letzten Monate zu risikoreich, da ich nicht die Zeit gehabt hätte, den Laptop neu aufzusetzen. Es scheint aber alles glatt gelaufen zu sein ... dank deiner detailieren und nachvollziehbaren Anweisungen, cosinus. Vielen Dank dafür. Ich häng jetzt mal ungefragt den Screenshot von Parted Magic und das neue Log von aswMBR an. Code: aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software |
Lieber spät als nie :lach: Die Sektoren enthalten nun auch keinen pöhsen Code mehr :D Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Sodala. Die gefundenen Einträge bei SuperAntiSpyware hängen wohl nicht mit unserem Trojaner zusammen. Was soll dennoch gelöscht werden? Die Winrar-Datei ist ja komisch (-->Fehlalarm???) Danke. Gruß. radler Code: Malwarebytes Anti-Malware 1.61.0.1400Code: SUPERAntiSpyware Scan Log |
Code: Unclassified.Unknown Origin |
k ... den Rest nicht löschen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board
