Trojaner-Board - Smart Fortress 2012/Probleme nach Bereinigung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Smart Fortress 2012/Probleme nach Bereinigung (https://www.trojaner-board.de/112983-smart-fortress-2012-probleme-bereinigung.html)

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr", dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Gerade den Scan gestartet.
Dann mitten im Scan kam ein Blue Screen in dem stand sowas wie "Vorgang gestoppt dann ne lange Zahlenreihe".
Hab dann neugestartet und jetzt kommt man nur noch in ein temporäres Profil rein!

Sowas kenn ich nicht nach aswMBR
Ist das immer noch mit dem temp. Profil? Ist das auch bei anderen Benutzerkonten?

Das mit dem temporären Profil ist wieder weg.
Weiß nicht ob es auch bei anderen war.
Hab nach dem Post den pc nicht mehr angerührt.

Dann probier aswMBR bitte nochmal aus

Code:

swMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-05-02 20:53:04

-----------------------------

20:53:04.828    OS Version: Windows x64 6.1.7601 Service Pack 1

20:53:04.828    Number of processors: 4 586 0x2A07

20:53:04.843    ComputerName: ******-PC  UserName: ******

20:53:07.636    Initialize success

20:55:06.227    AVAST engine defs: 12050200

20:55:14.932    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

20:55:14.948    Disk 0 Vendor: Hitachi_ JE4O Size: 715404MB BusType: 3

20:55:14.948    Disk 0 MBR read successfully

20:55:14.963    Disk 0 MBR scan

20:55:14.963    Disk 0 unknown MBR code

20:55:14.979    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048

20:55:14.995    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       673317 MB offset 206848

20:55:14.995    Disk 0 Partition - 00     0F Extended LBA             40958 MB offset 1379160064

20:55:15.026    Disk 0 Partition 3 00     12  Compaq diag NTFS         1025 MB offset 1463042048

20:55:15.151    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS        38908 MB offset 1379162112

20:55:15.151    Disk 0 Partition - 00     05     Extended               128 MB offset 1458847743

20:55:15.197    Disk 0 Partition 5 00     27 Hidden NTFS WinRE               128 MB offset 1458847744

20:55:15.213    Disk 0 Partition - 00     05     Extended               895 MB offset 1538799614

20:55:15.759    Disk 0 Partition 6 00     27 Hidden NTFS WinRE               895 MB offset 1459111936

20:55:15.775    Disk 0 Partition - 00     05     Extended              1023 MB offset 1540898814

20:55:15.821    Disk 0 Partition 7 00     27 Hidden NTFS WinRE              1023 MB offset 1460946944

20:55:15.868    Disk 0 scanning C:\Windows\system32\drivers

20:55:25.899    Service scanning

20:55:52.825    Modules scanning

20:55:52.840    Disk 0 trace - called modules:

20:55:52.840    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 

20:55:52.856    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004731060]

20:55:52.856    3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004170050]

20:55:55.695    AVAST engine scan C:\Windows

20:56:00.141    AVAST engine scan C:\Windows\system32

20:58:55.064    AVAST engine scan C:\Windows\system32\drivers

20:59:19.915    AVAST engine scan C:\Users\******

21:05:13.895    AVAST engine scan C:\ProgramData

21:08:25.121    Scan finished successfully

21:11:47.095    Disk 0 MBR has been saved successfully to "C:\Users\******\Desktop\MBR.dat"

21:11:47.110    The log file has been saved successfully to "C:\Users\******\Desktop\aswMBR.txt"

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Dazu noch eine Frage wie sichere ich am besten die Daten?
Einfach auf ne exteren Festplatte ziehen?
Wie kann ich mir denn dann sicher sein, dass diese sich nicht auch Infiziert?

Danke

Es heißt ja DATENsicherung und nicht PROGRAMMsicherung
Reine Datendateien sind normalerweise nur reine Daten, gefährlich sind ausführbare Programme

Zitat:

Einfach auf ne exteren Festplatte ziehen?

Ja, so einfach kanns sein
Wenn du willst machst du ein Image zB mit Drive Snapshot - Disk Image Backup leicht gemacht
Windows7 hat solche Funktionen aber auch schon an Bord

Heute ne neue Festplatte gekauft.
Ist das mit der Windows Sicherung ok?
Wenn Ich auswähle nur Benutzerdateien sichern?

Mach doch einfach ein Image! Dann kannst du auch keine Daten vergessen! Aus dem Image zB von Drivesnapshot kannst du auch selektiv einzelne Elemente wiederherstellen

Nachdem ich jetzt gefixt hatte, bekomm ich in aswmbr diese Meldung

20:25:44.056 write error "ashBase.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Ich kann keinen neuen Scan erstellen.

Auch ein Neustart hat nichts geholfen.

Soll ich es nochmal neu herunterladen

Ja, neu runterladen und nochmal probieren

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-05-15 21:43:35

-----------------------------

21:43:35.665    OS Version: Windows x64 6.1.7601 Service Pack 1

21:43:35.665    Number of processors: 4 586 0x2A07

21:43:35.665    ComputerName: *****-PC  UserName: *****

21:43:38.755    Initialize success

21:45:03.876    AVAST engine defs: 12051500

21:45:22.191    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

21:45:22.191    Disk 0 Vendor: Hitachi_ JE4O Size: 715404MB BusType: 3

21:45:22.206    Disk 0 MBR read successfully

21:45:22.206    Disk 0 MBR scan

21:45:22.222    Disk 0 Windows 7 default MBR code

21:45:22.222    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048

21:45:22.238    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       673317 MB offset 206848

21:45:22.238    Disk 0 Partition - 00     0F Extended LBA             40958 MB offset 1379160064

21:45:22.269    Disk 0 Partition 3 00     12  Compaq diag NTFS         1025 MB offset 1463042048

21:45:22.378    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS        38908 MB offset 1379162112

21:45:22.394    Disk 0 Partition - 00     05     Extended               128 MB offset 1458847743

21:45:22.425    Disk 0 Partition 5 00     27 Hidden NTFS WinRE               128 MB offset 1458847744

21:45:22.425    Disk 0 Partition - 00     05     Extended               895 MB offset 1538799614

21:45:22.971    Disk 0 Partition 6 00     27 Hidden NTFS WinRE               895 MB offset 1459111936

21:45:22.971    Disk 0 Partition - 00     05     Extended              1023 MB offset 1540898814

21:45:23.018    Disk 0 Partition 7 00     27 Hidden NTFS WinRE              1023 MB offset 1460946944

21:45:23.080    Disk 0 scanning C:\Windows\system32\drivers

21:45:35.310    Service scanning

21:46:01.940    Modules scanning

21:46:01.940    Disk 0 trace - called modules:

21:46:01.955    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 

21:46:01.955    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006012060]

21:46:01.971    3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800428b050]

21:46:04.716    AVAST engine scan C:\Windows

21:46:09.100    AVAST engine scan C:\Windows\system32

21:49:01.090    AVAST engine scan C:\Windows\system32\drivers

21:49:30.531    AVAST engine scan C:\Users\*****

21:55:57.225    AVAST engine scan C:\ProgramData

21:58:41.696    Scan finished successfully

21:59:12.725    Disk 0 MBR has been saved successfully to "C:\Users\*****\Desktop\MBR.dat"

21:59:12.725    The log file has been saved successfully to "C:\Users\*****\Desktop\Neu.txt"

Live-System PartedMagic / GParted

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

4. Du müsstest ein Symbol PartitionEditor auf dem Desktop finden, das doppelklicken
5. Wenn das Tool die Partitionen aufgelistet hat, bitte einen Screenshot mit Hilfe der Taste DRUCK auf der Tastatur erstellen, diesen Screenshot hier posten (idR hast du einen Internetzugang mit PartedMagic, wenn nicht einfach den Screenshot auf einem Stick abspeichern und unter Windows hier posten)