|
Diesmal hats geklappt, hier noch der GMER log: am ende des Scans kam die fehlermeldung, dass GMER rootkit aktivität gefunden hat. LG GMER Logfile: Code: GMER 1.0.15.15281 - hxxp://www.gmer.net |
Zitat:
Anschließend müssen wir mal Deinen MBR dumpen: Dazu - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren! Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code: remover.exe fix \\.\PhysicalDrive0 |
Hi, vielen Dank, super Hilfe :-)!! Frage zum ersten Schritt, also: Zitat:
Wie genau soll ich in OSAM vorgehen? In der OSAM Menüleiste oben unter "Files" den betreffenden ibwkdj.sys auswählen und dann "Delete" oder "Kill" anklicken? oder anders? |
Zitat:
Sorry, ich habe GMER mit OSAM verwechselt, insofern ist die Frage sinnfrei. Da ich nun aber mit OSAM arbeite habe ich eine andere Frage: ich kann die betreffende datei ibwkdy.sys mit OSAM deaktivieren ("Turn run off") aber löschen kann ich die Dabei nicht. Die Funktion "Delete File" ist nämlich nicht auswählbar. Oder ist es so gemeint, dass ich die Datei erst mit OSAM deaktivieren soll und dann ganz normal mit dem Windows Explorer suchen und in den Papierkorb legen soll? |
Lies doch einfach mal die OSAM Anleitung unter Einträge deaktivieren!! |
Hi, sorry ich bin etwas unbeholfen, da ich mich mit der Materie Virenbekämpfung nicht auskenne. Ich habe nun die Schritte 1-4 der Anleitung erfolgreich durchgeführt und gemäß der Aufforderung von OSAM "Reboot now" neu hochgefahren. Dann habe ich OSAM wieder gestartet, habe aber leider anders als in der Beschreibung angekündigt keinen automatischen Report bekommen. Wenn ich die Datei ibwkdj.sys nun in den einträgen suche finde ich sie nicht mehr! Auch wenn ich "Refresh" mache, findet OSAM die Datei nicht mehr. Wenn ich im ganz normalen Explorer suche ist die Datei ibwkdj.sys aber noch da. Hast du ne Idee woran das liegt und wie ich dem begegnen sollte? LG |
Zitat:
Anschließend manuell löschen und zur Kontrolle ein neues OSAM Log posten. Denk auch bitte an den Bootkit Remover. Führ aber bitte zum Dumpen diesen Befehl aus, der Fix kommt später: Code: remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat |
Hi, -ich habe die Datei idwkdj.sys in eurem Upload Channel hochgeladen. -ich habe die Datei anschließend manuell im Explorer gelöscht -Dann habe ich einen neuen OSAM Scan gemacht, hier der log: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Zitat:
Hi, ich habe nur die Datei "bootkit_remover.exe" im Bootkit Remover Ordner, ich gehe davon aus, dass du die meinst?! Wenn ja, dann kopiere ich diese "bootkit_remover.exe" Datei in den C:\Windows\System32 und gebe dann unter "Ausführen" zunächst "cmd" ein. Dann öffnet sich das schwarze Administrator Fenster, in welches ich dann den genannten Code "remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat" als ein ganzes hintereinander eingebe, richtig? |
Ich habe den Code entsprechend angepasst, statt: remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat habe ich bootkit_remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat verwendet. Die Datei mbr.dat habe ich nun hochgeladen! Danke+Grüße |
Ja das war so ok. :) Mach mal bitte jetzt diesen Befehl: Code: bootkit_remover.exe fix \\.\PhysicalDrive0 |
Hi, klappt leider nicht! Wenn ich den Code eingebe erscheint öffnet sich zunächst ein Fenster in dem Bootkit Remover darauf hinweist, dass es sofort nach dem löschen neustarten will. Ich bejahe dies, dann erscheint im Administratorfeld folgende Nachricht: Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 1(build 6001), 31.bit System volume is \\.\C: \\.\C: -> \\PhysicalDrive0 at offset 0*00000002´80100000 ATA_Write<>: DeviceIoControl<> ERROR 1 ERROR: Can´t write first sector of the disk Done; Grüße. |
Ach Du hast ja Vista. Da geh ich meist einen anderen Weg: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows Lad das iso runter, brenn es per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. |
Hi, danke für deine individuelle Hilfe! Leider besitze ich nur einen Laptop und habe keinen CD Brenner, da das CD Brennen ja mit dem Internet etwas an Bedeutung verloren hat fällt mir spontan auch kein anderer Weg ein die CD zu brennen. Gibt es noch eine andere Möglichkeit? LG |
Brenn die CD über einen Zeitrechner mit Brenner. Wenn Du noch ne normale Vista-Installations-CD hast, kannst Du das auch damit machen. Nur haben die meisten sowas nicht, deswegen verlink ich immer die ISO zur Recovery-CD. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board