Trojaner-Board - trojana olmarik auf dem notebook

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - trojana olmarik auf dem notebook (https://www.trojaner-board.de/104244-trojana-olmarik-notebook.html)

trojana olmarik auf dem notebook

hallo,

mein nod 32 hat den olmarik trojana auf meinem rechner entdeckt und konnte ihn nicht löschen. ich habe mehrmals den rechner neu aufgesetzt aber keinen erfolg gehabt. mich dann im inet belesen und hoffe ihr könnt mir jetzt helfen.

als virenprogramme habe ich avast und nod 32 ausprobiert.
malwarebyts hat nichts gefunden genause wie gmer.

einen log von ComboFix habe ich auch, wo bei der verfälscht sein könnte, da avast noch irgendwie aktiv war.

bitte sagt mir welchen log ihr jetzt tatsächlich braucht, da ich den überblick allmählich verliere.

system:
asus x72vn
win 7 ulti

danke im vorraus.

Zitat:

ich habe mehrmals den rechner neu aufgesetzt aber keinen erfolg gehabt.

Dann hast du da etwas nicht richtig umgesetzt. Beschreib mal wie du vorgegangen bist.
Ein echtes Neuaufsetzen setzt ein Formatieren voraus und man darf keine potentiell gefährlichen Dateitypen mehr auf dem frischen System ausführen, wenn diese Dateien vom infizierten System verarbeitet wurden.

Zitat:

einen log von ComboFix habe ich auch

Bitte NICHT einfach mal so CF ausführen! Besser wäre das Log von NOD32 gewesen!

http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif

Zitat:

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hallo cosinus,

um den pc neu zu machen, habe ich die windos cd eingelegt. dann alle partitionen gelöscht/ wieder zusammengestzt und auf den knopf formatieren gedrückt. dann installiert und die 2 platte nochmal über den arbeitsplatz formatiert (keine quick formatierung).

ja, gelesen hab ich den hinweis, aber...
combo hat aber nix kaputt gemacht, pc läuft noch.

nod log folgt in kürze.

hier der log von nod

Log
Version der Signaturdatenbank: 6557 (20111019)
Datum: 19.10.2011 Uhrzeit: 18:42:47
Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;C:\Bootsektor;D:\Bootsektor;C:\;D:\
Master Boot Record (MBR) des physischen Datenträgers 1. - Win32/Olmarik.AJL Trojaner - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans
Master Boot Record (MBR) des physischen Datenträgers 1. - Win32/Olmarik.AJL Trojaner - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans
C:\hiberfil.sys - Fehler beim Öffnen [4]
C:\pagefile.sys - Fehler beim Öffnen [4]
C:\Program Files\AVAST Software\Avast\WebRep\FF\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Program Files (x86)\T-Mobile\InternetManager_H\OCx32\addon\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Program Files (x86)\T-Mobile\InternetManager_H\OCx64\addon\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log - Fehler beim Öffnen [4]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSStmp.log - Fehler beim Öffnen [4]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb - Fehler beim Öffnen [4]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb - Fehler beim Öffnen [4]
C:\ProgramData\Microsoft\Windows Defender\IMpService925A3ACA-C353-458A-AC8D-A7E5EB378092.lock - Fehler beim Öffnen [4]
C:\System Volume Information\Syscache.hve - Fehler beim Öffnen [4]
C:\System Volume Information\Syscache.hve.LOG1 - Fehler beim Öffnen [4]
C:\System Volume Information\Syscache.hve.LOG2 - Fehler beim Öffnen [4]
C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{72f52a3d-f807-11e0-82d6-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{83764a9f-f8ed-11e0-b67f-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{83764ab0-f8ed-11e0-b67f-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{83764ab4-f8ed-11e0-b67f-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{a34347a6-f8c5-11e0-8ded-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{bb6ad011-f8d6-11e0-8b00-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{f8502b5e-f99d-11e0-86e2-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{f8502b62-f99d-11e0-86e2-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{f8502b6d-f99d-11e0-86e2-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{f8502b71-f99d-11e0-86e2-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{f8502b81-f99d-11e0-86e2-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\MSS.log - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\MSStmp.log - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\tmp.edb - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\Windows.edb - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Windows Defender\IMpService925A3ACA-C353-458A-AC8D-A7E5EB378092.lock - Fehler beim Öffnen [4]
C:\Users\Fenris\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Users\Fenris\ntuser.dat.LOG1 - Fehler beim Öffnen [4]
C:\Users\Fenris\ntuser.dat.LOG2 - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Microsoft\Windows\UsrClass.dat - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\64MWENLE\7z920-x64[1].msi » MSI - Archiv beschädigt - Datei kann nicht extrahiert werden
C:\Users\Fenris\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MELIORZZ\mbam-setup-1.51.2.1300[1].exe » INNO » files.info - Interner Fehler (10010)
C:\Users\Fenris\AppData\Local\Temp\~DF148819C914264CFA.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF188A7F8987A8A31D.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF34687BD92C83DA61.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF46D377A8669F06FD.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF481800CC3CD16440.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF5E9EC8C2AC21D1E6.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF6351DEFC2D6443E0.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF711EEC8734086BB5.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF7498B9E67F014DE8.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF8FD49116AD7B94DE.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF91F328C518B361CE.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF9BCB9F38C17A0BBC.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF9C0E9D2459FE939C.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DF9E7D600EC3173449.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DFBF902E643E776B4A.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DFCE1AC90A6A17C308.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DFCFC3EAC25F55F6EE.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DFD2E20948B86C570B.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DFD45D668132B7CF24.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DFEAA332624E7F03F8.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DFF1D076996B976704.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Temp\~DFFA392A0A2E689618.TMP - Fehler beim Öffnen [4]
C:\Users\Fenris\Desktop\mbam-setup-1.51.2.1300.exe » INNO » files.info - Interner Fehler (10010)
C:\Users\UpdatusUser\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Users\UpdatusUser\ntuser.dat.LOG1 - Fehler beim Öffnen [4]
C:\Users\UpdatusUser\ntuser.dat.LOG2 - Fehler beim Öffnen [4]
C:\Users\UpdatusUser\AppData\Local\Microsoft\Windows\UsrClass.dat - Fehler beim Öffnen [4]
C:\Users\UpdatusUser\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 - Fehler beim Öffnen [4]
C:\Users\UpdatusUser\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1 - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG2 - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1 - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG2 - Fehler beim Öffnen [4]
C:\Windows\System32\catroot2\edb.log - Fehler beim Öffnen [4]
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb - Fehler beim Öffnen [4]
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - Fehler beim Öffnen [4]
Geprüfte Objekte: 137939
Erkannte Bedrohungen: 2
Anzahl gesäuberter Objekte: 0
Abgeschlossen: 18:59:53 Benötigte Zeit: 1026 Sek. (00:17:06)

Hinweise:
[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.

Zitat:

Master Boot Record (MBR) des physischen Datenträgers 1. - Win32/Olmarik.AJL Trojaner - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans
Master Boot Record (MBR) des physischen Datenträgers 1. - Win32/Olmarik.AJL Trojaner - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans

Der MBR ist noch infiziert. Wie viele Festplatten hast du an diesem Rechner dran?

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

ich habe 2 "fest" eingebaute festplatten mit 320gb im rechner. beide nicht in partitionen unterteilt zzt.

log von aswmr

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-19 20:54:06
-----------------------------
20:54:06.367 OS Version: Windows x64 6.1.7600
20:54:06.367 Number of processors: 2 586 0x1706
20:54:06.367 ComputerName: FENRIS-PC UserName: Fenris
20:54:08.277 Initialize success
20:54:08.497 AVAST engine defs: 11101901
20:54:12.703 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
20:54:12.703 Disk 0 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
20:54:12.719 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0
20:54:12.719 Disk 1 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
20:54:14.731 Disk 0 MBR read successfully
20:54:14.747 Disk 0 MBR scan
20:54:14.747 Disk 0 MBR:Alureon-G [Rtk]
20:54:14.762 Disk 0 TDL4@MBR code has been found
20:54:14.762 Disk 0 MBR [TDL4] **ROOTKIT**
20:54:14.762 Service scanning
20:54:18.272 Modules scanning
20:54:18.272 Disk 0 trace - called modules:
20:54:18.288 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys
20:54:18.803 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004b11060]
20:54:18.834 3 CLASSPNP.SYS[fffff8800145143f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa80046b6060]
20:54:19.411 AVAST engine scan C:\Windows
20:54:22.594 AVAST engine scan C:\Windows\system32
20:55:41.343 AVAST engine scan C:\Windows\system32\drivers
20:55:50.500 AVAST engine scan C:\Users\Fenris
20:58:43.660 AVAST engine scan C:\ProgramData
20:58:59.260 Scan finished successfully
20:59:19.384 Disk 0 MBR has been saved successfully to "C:\Users\Fenris\Desktop\MBR.dat"
20:59:19.400 The log file has been saved successfully to "C:\Users\Fenris\Desktop\aswMBR.txt"

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-19 20:54:06
-----------------------------
20:54:06.367 OS Version: Windows x64 6.1.7600
20:54:06.367 Number of processors: 2 586 0x1706
20:54:06.367 ComputerName: FENRIS-PC UserName: Fenris
20:54:08.277 Initialize success
20:54:08.497 AVAST engine defs: 11101901
20:54:12.703 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
20:54:12.703 Disk 0 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
20:54:12.719 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0
20:54:12.719 Disk 1 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
20:54:14.731 Disk 0 MBR read successfully
20:54:14.747 Disk 0 MBR scan
20:54:14.747 Disk 0 MBR:Alureon-G [Rtk]
20:54:14.762 Disk 0 TDL4@MBR code has been found
20:54:14.762 Disk 0 MBR [TDL4] **ROOTKIT**
20:54:14.762 Service scanning
20:54:18.272 Modules scanning
20:54:18.272 Disk 0 trace - called modules:
20:54:18.288 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys
20:54:18.803 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004b11060]
20:54:18.834 3 CLASSPNP.SYS[fffff8800145143f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa80046b6060]
20:54:19.411 AVAST engine scan C:\Windows
20:54:22.594 AVAST engine scan C:\Windows\system32
20:55:41.343 AVAST engine scan C:\Windows\system32\drivers
20:55:50.500 AVAST engine scan C:\Users\Fenris
20:58:43.660 AVAST engine scan C:\ProgramData
20:58:59.260 Scan finished successfully
20:59:19.384 Disk 0 MBR has been saved successfully to "C:\Users\Fenris\Desktop\MBR.dat"
20:59:19.400 The log file has been saved successfully to "C:\Users\Fenris\Desktop\aswMBR.txt"

ich habe 2 festplatten im rechner beide nicht in partitionen eingteilt.

und ich merke jetzt wohl auch schon auswirkungen von mailware...

bei scans einfrieren des pcs und anmelden im forum is auch schwer

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Win7 (64-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-64-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Win7-Installations-DVD (64-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Führe im normalen Windowsmodus MBRcheck bzw. aswmbr (je nachdem welches Tool ich dir vorhin aufgab) und wenn es geht GMER nochmals aus und poste die neuen Logs.

erstmal vielen dank für die mühe! aber ich werde am wochende mal mein altes vista drüber laufen lassen... vllt nutzt es ja für sowas.

das ding is immer noch da =o

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-20 17:27:36
-----------------------------
17:27:36.983 OS Version: Windows x64 6.1.7600
17:27:36.983 Number of processors: 2 586 0x1706
17:27:36.984 ComputerName: FENRIS-PC UserName: Fenris
17:27:39.102 Initialize success
17:27:39.183 AVAST engine defs: 11102001
17:27:41.909 Disk 0 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
17:27:41.909 Disk 0 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
17:27:41.909 Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-2
17:27:41.909 Disk 1 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
17:27:43.937 Disk 1 MBR read successfully
17:27:43.952 Disk 1 MBR scan
17:27:43.952 Disk 1 MBR:Alureon-G [Rtk]
17:27:43.968 Disk 1 TDL4@MBR code has been found
17:27:43.968 Disk 1 MBR [TDL4] **ROOTKIT**
17:27:43.984 Service scanning
17:27:47.915 Modules scanning
17:27:47.915 Disk 1 trace - called modules:
17:27:47.930 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys
17:27:47.946 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0xfffffa8004c2d550]
17:27:47.946 3 CLASSPNP.SYS[fffff880018c843f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa80046e6060]
17:27:48.913 AVAST engine scan C:\Windows
17:27:51.128 AVAST engine scan C:\Windows\system32
17:28:46.742 AVAST engine scan C:\Windows\system32\drivers
17:28:53.014 AVAST engine scan C:\Users\Fenris
17:31:20.138 AVAST engine scan C:\ProgramData
17:31:32.992 Scan finished successfully
17:32:21.383 Disk 1 MBR has been saved successfully to "C:\Users\Fenris\Desktop\MBR.dat"
17:32:21.399 The log file has been saved successfully to "C:\Users\Fenris\Desktop\aswMBR.txt"
17:35:46.810 Disk 1 MBR has been saved successfully to "C:\Users\Fenris\Desktop\MBR.dat"
17:35:46.810 The log file has been saved successfully to "C:\Users\Fenris\Desktop\aswMBR2.txt"

Ich glaube du hast die befehle nicht richtig eingetippt. => bootrec.exe /fixboot

zwischen dem bootrec.exe und /fixboot ist ein Leerzeichen! bei dem anderen Befehl natürlich auch. Bitte wiederholen.

nee, ich habe die befehle so eingegeben. da kam auch die erfolgsmeldung.

Zitat:

17:27:43.968 Disk 1 TDL4@MBR code has been found
17:27:43.968 Disk 1 MBR [TDL4] **ROOTKIT**

Ach jetzt seh ich es. Disk1 ist die 2. Festplatte. Hast du zwei baugleiche Platten im RAID-Verbund?

im raid verbunden? die sind vom hersteller eingebaut. gleich groß daher denke ich identisch, ja.

Die Frage nehm ich erstmal zurück ;)

Geh mal bitte über die Computerverwaltung in die Datenträgerverwaltung. Mach davon als Vollbild bitte einen Screenshot und poste diesen hier.

Ok, danke für den Screenshot.

Ist eine merkwürdige Konstellation. Du hast zwei physische Datenträger verbaut => Disk0 und Disk1

Auf Disk0 ist die Win7-typische Startpartition (100 MB größe) eingerichtet, Windows selbst also C: ist aber aber auf Disk1....

Sowas würde ich nicht machen, Startpartition und Systempartition sollten auf einer Festplatte sein. Ist das ein Problem nochmal richtig für dich Windows neu zu installieren?

Notfalls erstmal könnte man mit aswMBR den MBR fixen.

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.
Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

also gewollt war das mit der startpartition nicht. ich werde jetzt erstmal fixen. wie verhindere ich das ich windows wieder getrennt installiere?

das neue log hat wieder rote farben =| ich werde am we windows neu installieren^^ melde mich dann wieder...

lg

Zitat:

=| ich werde am we windows neu installieren^^ melde mich dann wieder...

Mach das. Aber überschreib auch den MBR vorher. Wenn du nicht weißt wie das geht, dann wipe alle Platten mit DBAN oder ich schreibe dir bei Interesse eine andere Möglichkeit, über eine Linux-Live-CD.

Stell davor unbedingt sicher, dass alle wichtigten Daten auf eine externe Platte gesichert wurden.

bin ich ihn jetzt los? 8-|

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-21 12:55:55
-----------------------------
12:55:55.739 OS Version: Windows 6.0.6001 Service Pack 1
12:55:55.739 Number of processors: 2 586 0x1706
12:55:55.739 ComputerName: WIN-NIDMU3PQ04A UserName: Administrator
12:55:58.952 Initialize success
12:55:59.139 AVAST engine defs: 11102101
12:56:00.434 Disk 0 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
12:56:00.434 Disk 0 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 3
12:56:00.434 Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0
12:56:00.450 Disk 1 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 3
12:56:02.462 Disk 1 MBR read successfully
12:56:02.478 Disk 1 MBR scan
12:56:02.493 Disk 1 Windows VISTA default MBR code
12:56:02.509 Disk 1 scanning sectors +625139712
12:56:02.634 Disk 1 scanning C:\Windows\system32\drivers
12:56:07.017 Service scanning
12:56:08.749 Modules scanning
12:56:13.757 Disk 1 trace - called modules:
12:56:13.772 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS PCIIDEX.SYS msahci.sys
12:56:14.287 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0x8515aa78]
12:56:14.287 3 CLASSPNP.SYS[89fa9745] -> nt!IofCallDriver -> [0x84b7cf08]
12:56:14.303 5 acpi.sys[806976a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x84b238a8]
12:56:15.379 AVAST engine scan C:\Windows
12:56:16.830 AVAST engine scan C:\Windows\system32
12:56:51.036 AVAST engine scan C:\Windows\system32\drivers
12:56:55.060 AVAST engine scan C:\Users\Administrator
12:57:05.824 AVAST engine scan C:\ProgramData
12:57:08.414 Scan finished successfully
12:57:57.917 Disk 1 MBR has been saved successfully to "C:\Users\Administrator\Desktop\MBR.dat"
12:57:57.917 The log file has been saved successfully to "C:\Users\Administrator\Desktop\aswMBR.txt"

aber jetzt mit win 7

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-21 22:50:07
-----------------------------
22:50:07.211 OS Version: Windows x64 6.1.7600
22:50:07.212 Number of processors: 2 586 0x1706
22:50:07.213 ComputerName: FENRIS-PC UserName: Fenris
22:50:09.450 Initialize success
22:50:09.943 AVAST engine defs: 11102101
22:50:13.917 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
22:50:13.923 Disk 0 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
22:50:13.929 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0
22:50:13.935 Disk 1 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
22:50:15.973 Disk 0 MBR read successfully
22:50:15.980 Disk 0 MBR scan
22:50:15.990 Disk 0 MBR:Alureon-G [Rtk]
22:50:15.998 Disk 0 TDL4@MBR code has been found
22:50:16.006 Disk 0 MBR [TDL4] **ROOTKIT**
22:50:16.010 Service scanning
22:50:18.262 Modules scanning
22:50:18.273 Disk 0 trace - called modules:
22:50:18.349 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS aswSP.SYS PCIIDEX.SYS hal.dll msahci.sys
22:50:18.364 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c31060]
22:50:18.381 3 CLASSPNP.SYS[fffff8800197643f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa80046eb060]
22:50:18.925 AVAST engine scan C:\Windows
22:50:19.933 AVAST engine scan C:\Windows\system32
22:52:56.510 File: C:\Windows\system32\MpSigStub.exe **HIDDEN**
22:52:57.878 AVAST engine scan C:\Windows\system32\drivers
22:53:04.987 AVAST engine scan C:\Users\Fenris
22:53:28.065 AVAST engine scan C:\ProgramData
22:53:32.389 Scan finished successfully
22:53:48.432 Disk 0 MBR has been saved successfully to "C:\Users\Fenris\Documents\MBR.dat"
22:53:48.442 The log file has been saved successfully to "C:\Users\Fenris\Documents\aswMBR.txt"
22:54:02.247 Disk 0 MBR has been saved successfully to "C:\Users\Fenris\Desktop\MBR.dat"
22:54:02.261 The log file has been saved successfully to "C:\Users\Fenris\Desktop\aswMBR.txt"

=) ich glaube ich habs jetzt.

win7 dvd eingelegt, /fixboot und /fixmbr durchgeführt, neugestartet.
win7 installiert und gescannt. wenn du mir jetzt noch sagst, das das gut aussieht in ich ihn wohl los. vielen dank!!!

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-22 10:17:41
-----------------------------
10:17:41.715 OS Version: Windows x64 6.1.7600
10:17:41.715 Number of processors: 2 586 0x1706
10:17:41.715 ComputerName: Fenris-PC UserName: Fenris
10:17:44.040 Initialize success
10:17:44.211 AVAST engine defs: 11092801
10:17:48.158 Disk 0 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
10:17:48.174 Disk 0 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
10:17:48.174 Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0
10:17:48.189 Disk 1 Vendor: ST9320320AS 0303 Size: 305245MB BusType: 11
10:17:50.217 Disk 1 MBR read successfully
10:17:50.233 Disk 1 MBR scan
10:17:50.249 Disk 1 Windows 7 default MBR code
10:17:50.249 Service scanning
10:17:52.323 Modules scanning
10:17:52.323 Disk 1 trace - called modules:
10:17:52.355 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys
10:17:52.370 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0xfffffa8004b19060]
10:17:52.386 3 CLASSPNP.SYS[fffff8800191043f] -> nt!IofCallDriver -> [0xfffffa80047341e0]
10:17:52.401 5 ACPI.sys[fffff88000ec4781] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa800471d060]
10:17:53.057 AVAST engine scan C:\Windows
10:17:53.681 AVAST engine scan C:\Windows\system32
10:18:42.212 AVAST engine scan C:\Windows\system32\drivers
10:18:48.249 AVAST engine scan C:\Users\Fenris
10:18:53.860 AVAST engine scan C:\ProgramData
10:18:56.683 Scan finished successfully
10:22:35.002 Disk 1 MBR has been saved successfully to "C:\Users\Fenris\Desktop\MBR.dat"
10:22:35.002 The log file has been saved successfully to "C:\Users\Fenris\Desktop\aswMBR.txt"

Sry hab ich das irgendwo überlesen, dass du Win7 und WinVista drauf hast im Dualboot? :confused:
Dann ist das natürlich keine merkwürdige Konstellation.

das hast dunicht überlesen.... ich habe vista kurz installiert um zu sehen ob das hilft... aber egal.

jetzt hab ich win 7 drauf und denke das nach dem log wohl der trojaner weg ist oder?

Ja, lt. dem aswMBR-Log ist der MBR nun ok.

hallo...

da mein pc jetzt immer mal wieder einfriert hab ich nod installiert und der hat olmarik wieder entdeckt...

Log
Version der Signaturdatenbank: 6484 (20110922)
Datum: 29.10.2011 Uhrzeit: 10:48:37
Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;C:\Bootsektor;D:\Bootsektor;C:\;D:\
Master Boot Record (MBR) des physischen Datenträgers 0. - Win32/Olmarik.AJL Trojaner - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans
Master Boot Record (MBR) des physischen Datenträgers 0. - Win32/Olmarik.AJL Trojaner - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans
C:\hiberfil.sys - Fehler beim Öffnen [4]
C:\pagefile.sys - Fehler beim Öffnen [4]
C:\Program Files\AVAST Software\Avast\WebRep\FF\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log - Fehler beim Öffnen [4]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSStmp.log - Fehler beim Öffnen [4]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb - Fehler beim Öffnen [4]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb - Fehler beim Öffnen [4]
C:\ProgramData\Microsoft\Windows Defender\IMpService925A3ACA-C353-458A-AC8D-A7E5EB378092.lock - Fehler beim Öffnen [4]
C:\System Volume Information\Syscache.hve - Fehler beim Öffnen [4]
C:\System Volume Information\Syscache.hve.LOG1 - Fehler beim Öffnen [4]
C:\System Volume Information\Syscache.hve.LOG2 - Fehler beim Öffnen [4]
C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{966747aa-00ab-11e1-8f5e-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{e71e906b-0207-11e1-ac10-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\System Volume Information\{e71e9089-0207-11e1-ac10-00235492fe61}{3808876b-c176-4e48-b7ae-04046e6cc752} - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\MSS.log - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\MSStmp.log - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\tmp.edb - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\Windows.edb - Fehler beim Öffnen [4]
C:\Users\All Users\Microsoft\Windows Defender\IMpService925A3ACA-C353-458A-AC8D-A7E5EB378092.lock - Fehler beim Öffnen [4]
C:\Users\Fenris\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Users\Fenris\ntuser.dat.LOG1 - Fehler beim Öffnen [4]
C:\Users\Fenris\ntuser.dat.LOG2 - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Google\Chrome\User Data\Default\Current Session - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Google\Chrome\User Data\Default\Current Tabs - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Microsoft\Windows\UsrClass.dat - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 - Fehler beim Öffnen [4]
C:\Users\Fenris\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 - Fehler beim Öffnen [4]
C:\Users\Fenris\Downloads\285.62-notebook-win7-winvista-64bit-international-whql.exe » 7ZIP » - Fehler beim Lesen des Archivs
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1 - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG2 - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1 - Fehler beim Öffnen [4]
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG2 - Fehler beim Öffnen [4]
C:\Windows\SoftwareDistribution\DataStore\DataStore.edb - Fehler beim Öffnen [4]
C:\Windows\SoftwareDistribution\DataStore\Logs\edb.log - Fehler beim Öffnen [4]
C:\Windows\SoftwareDistribution\DataStore\Logs\tmp.edb - Fehler beim Öffnen [4]
C:\Windows\System32\catroot2\edb.log - Fehler beim Öffnen [4]
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb - Fehler beim Öffnen [4]
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - Fehler beim Öffnen [4]
C:\Windows\Temp\TMP000000F2B3E44459101726FA - Fehler beim Öffnen [4]
C:\Windows\Temp\TMP000001A821EEB010E25EC79B - Fehler beim Öffnen [4]
D:\Download\Borderlands Install\rzr-bord\Setup2.cab » CAB » dx_eula_ita.txt17 » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\Download\Borderlands Install\rzr-bord\EULA\dx_eula_ita.txt » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\Download\Borderlands Install\rzr-bord\Setup2\dx_eula_ita.txt17 » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\Program Files (x86)\2K Games\Gearbox Software\Borderlands\EULA\dx_eula_ita.txt » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\Program Files (x86)\T-Mobile\InternetManager_H\OCx32\addon\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
D:\Program Files (x86)\T-Mobile\InternetManager_H\OCx64\addon\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
Geprüfte Objekte: 280557
Erkannte Bedrohungen: 2
Anzahl gesäuberter Objekte: 0
Abgeschlossen: 11:22:31 Benötigte Zeit: 2034 Sek. (00:33:54)

Hinweise:
[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.