Das MBR-Teil wird immer noch von GMER angezeigt, lass uns mal den MBR mit aswMBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR und GMER machen.

Hello untenstehend der fix log von aswmbr und die neuen scan logs von aswmbr und gmer. Gmer meldet trotz dem Fix von aswmbr immer noch was :(

fixlog:

Logile aswmbr:

logile Gmer:

was nun?

lg

Hm, das Teil hält sich hartnäckig :balla:

Mach bitte mal einen Durchgang mit MBAR => http://www.trojaner-board.de/126981-...tml#post956070

also ich glaub, das Programm mag mich nicht.
Habs wie in der Anleitung beschrieben heruntergeladen und entpackt und mbar.exe lässt sich von mir nicht starten (siehe Screenshots anbei)

mbar problem 1: diese Fehlermeldung kommt, wenn ich ganz normal auf die exe Datei doppelklicke
mbar problem 2: diese fehlermeldung kommt, wenn ichs über Rechtsklick - Ausführen als - und dann mit meinem User versuche

Da mein Konto ein Adminkonto ist, kann ich das nicht ganz verstehen - was tun?
lg
Kathi

Hast du es wirklich komplett entpackt?
Entpacke es bitte mit 7zip über Rechtsklick auf die ZIP-Datei => 7zip => hier entpacken

Oder hast es so gemacht?

ich bin mit rechtsklick auf den zip ordner, dann "Alle extrahieren" und dann kommt der automatische Windows extrahier assistent und hats extrahiert. Soll ich mir 7.zip jetzt trotzdem herunter laden?

Untenstehend auch ein Screenshot von dem Extrahierten Ordner.

Ja, bitte mit 7zip mal entpacken, der Windows-Funktion trau ich nicht immer jede ZIP-Datei zu ;)

Wenn es immer noch nicht geht: neuen Windows-Benutzer über die Systemsteuerung mal anlegen (natürlich mit Adminrechten), ausloggen, mit neuen User rein und dann MBAR nochmal probieren

so hab 7zip herunter geladen und das teil ein 2. mal extrahiert.
Doppelklick - und es geht nicht - bekomm wieder meldung wegen der adminrechte
dann hab ich mir ein 2. adminkonto eingerichtet, den zip ordner von meinen desktop auf den "dummyadmin" desktop verschoben, mit 7zip extrahiert, doppelklick auf die exe datei - kommt da auch die adminfehlermeldung :schrei:

sakra haxn - wwarum geht das nicht? :heulen:

kanns vielleicht daran liegen, weil die windows firewall und der kaspersky noch rennen?
lg
Kathi

Verdammt mir gehen so langsam die Ideen aus...MBAR war meine letzte Rettung wegen des Rootkits, was GMER noch anzeigt :balla:

Probier MBAR bitte im abgesicherten Modus mit Netzwerktreibern aus:


Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Nicht verzweifeln :)
Im abgesicherten mod. Funktioniert mbar und das mit meinem adminuser
Aber jetzt kommt der überhammer: beim anmelden hatte ich plötzlich 3 Konten zur Auswahl: meines, dass neu erstellte dummyadminkonto uuund ADMINISTRATOR!!! Ich glaub mich knutscht ein Elch! Wo kommt das her? Ich hab das nicht erstellt!!!:balla:

Das ist völlig normal ;)

Den "Administrator" hat jedes Windows, das ist der vordefinierte und "unlöschbare" Adminaccount
Im normalen Modus unter WindowsXP wird der nur nicht angezeigt.

achsooo - na und ich hab schon weiß gott was geglaubt :rofl:
so mbar ist durch und hat nix gefunden - siehe log:

kann es vielleicht sein, dass Gmer ein false / positive meldung gemacht hat?

Damit hätte ich das ja auch abgetan, aber leider hat CF ja auch Erkennungen in dieser Richtung gehabt :(

Hier ein Auszug

Wobei man aber anmerken muss, dass CF Bestandteile von GMER verwendet. Vllt könnten GMER/CF wohl nur deswegen "spinnen", weil noch eine Kopie des eigentlich MBR auf Sektor1 liegt.
Alle anderen MBR/Rootkitscanner melden ja keinen Befall mehr....


Wenn du wirklich ganz sicher gehen willst, müssten wir eigentlich mal zwei Dumps der ersten beiden Festplattensektoren erstellen. Und die dann vergleichen bzw. analysieren.

Traust du dir das zu? Da müssten wir wieder mit einem Live-Linux (zB PartedMagic wieder) arbeiten und in eine Rootshell Befehle eintippern. Vertippst du dich ist dein Windows aus und vorbei, also sichere bitte alle Daten, mach am besten ein Image zB mit Drivesnaphot aller internen Festplatten, Imagedatei auf externe Platte speichern

huiuiui hört sich ja heftig an, aber ich bin neugierig und mutig und wills probieren :)
außerdem hast du mich bisher so super betreut - da kann ja eigentlich gar nix schief gehen ;) Dafür nochmal danke

Bzgl. Image von den Festplatten hätt ich noch eine Frage: wie groß müsst denn die externe Platte sein, wo das Image dann abgespeichert wird? Hab daweil nur die eine, die wir ja auch schon untersucht habe (und da sind bereits alle wichtigen persönliche Ordner & Dateien von diesem Laptop und von unserem PC gesichert)...

Das ist eine gute Frage :)
Ich habe bisher die Erfahrung, dass Drivesnapshot alles zu in etwa 2:1 komprimiert.
Beispiel: Deine 100 GB C Partition ist mit 80 GB Daten belegt. Dann wird das Snapshot-Image etwa 40 GB groß sein. Es wandern nur wirklich wichtige Daten ins Image, sowas wie pagefile.sys und hiberfile.sys ignoriert snapshot, das spart gerade bei heutigen Speichermonstern einiges...