Wie entdecke und vernichte ich MBR-Viren? |
||
---|---|---|
#0
| ||
17.05.2008, 02:10
Member
Themenstarter Beiträge: 325 |
||
|
||
17.05.2008, 12:21
Moderator
Beiträge: 2312 |
#17
Zu den Fehlermeldungen passen leider ungehörig viele Situationen.
Nutzt du Internet Connection Sharing? Roaming? Zu Frage 1 kannst du ja mal hier schauen: http://eventid.net/display.asp?eventid=1002&eventno=1778&source=Dhcp&phase=1 Zu Frage 2 hier: http://eventid.net/display.asp?eventid=32003&eventno=541&source=ipnathlp&phase=1 Das Reboot Problem hört sich evtl. nach einem Hardwareproblem an. Hier kann es mE die NIC (bietet sich hier ja an) oder der Speicher (bietet sich immer an ) sein. __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
17.05.2008, 13:16
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo,
« Analyse von dr.watson (Crashdump) http://www.a-m-i.de/tips/watson/watsonanalyse.php unabhängig vom Hardware-Problem: 1. wende regdelnull an und poste, ob 0-Key gefunden wurden http://virus-protect.org/artikel/tools/regdelnull.html 2. ich bin mir nicht sicher, aber das kann ein MBR-rootkit gewesen sein: S3 mbr - c:\dokume~1\XYZ~1\lokale~1\temp\mbr.sys (file missing) wende otscanit an + poste den kompletten report (eventuell als Anhang, sieh unten) http://virus-protect.org/artikel/tools/otscanit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.05.2008, 15:06
Member
Beiträge: 202 |
#19
was die datei DMP also das speicher abbild angeht
findest du hier das passende programm um nähere infos zu erhalten http://www.microsoft.com/whdc/devtools/debugging/default.mspx allerdings is da ein ziemlisch komplexes thema ich denke da kommst du nicht weiter ich gehe eher auch von einem hardware problem aus um das zu testen entpfehle ich Prime 95 als stabilitäts test http://www.computerbase.de/downloads/software/systemueberwachung/prime95/ dort wähle blend oder Torture Test mindestens 2 stunden laufen lassen dabei die CPU temperatur im auge behalten dazu entpfielht sich Core temp http://www.tomshardware.com/de/download/Core-Temp,0301-15477.html Ich haffe mal das dir das weiter hilft Dieser Beitrag wurde am 17.05.2008 um 15:13 Uhr von Audipower editiert.
|
|
|
||
17.05.2008, 19:20
Member
Themenstarter Beiträge: 325 |
#20
@ Sabina
Zitat ich bin mir nicht sicher, aber das kann ein MBR-rootkit gewesen sein:habe vor kurzem die MBR.EXE von gmer mal ausgeführt die hier gepostet (verlinkt) war,- ich denke mal dass das daher kommt !?? das Regdelnull-Programm habe ich versucht auszuführen nach der Lizenz-Bestätigung war ganz kurz ein DOS-Fenster da und gleich wieder weg. Bei erneutem Doppelclick des Programms "blitzt" das DOS -Fenster nur mal kanz kurz auf- habe ich jetzt ein Sinnlos- Eintrag mehr in der Registry.Den Text aus der Anleitung habe ich danach auch mal in das cmd Fenster hineinkopiert,- irgendwie bin ich zu blöd dem Ding ein Logfile zu entlocken.Habe aber unten mal ein Logfile von Antivir das von einer bootbaren DVD/CD einer PC Zeitschrift erstellt wurde...Habe den Scan des Bootsectors aktiviert, und das Ding hat den unten stehenden Logfile ausgespuckt---> ...gleich die wichtigste Frage vorweg: Wird mit "sr0" der Bootsector bezeichnet???? ...und "ALERT" heisst doch soviel wie "ACHTUNG, AUFPASSEN !??? ..bin ja mal gespannt was Du zu dem Logfile sagst kennst Du die Kandidaten ..mein Norton AV werd' ich in die Tonne treten wenn das bedrohliche Booteinträge sind und mir nichts gemeldet hat! @Audipower - schön dass Du Dich mal mit "eingeklinkt" hast, ..werde mich mal auf Deinen Links belesen.Du kannst Dir ja gleich nochmal den Antivir-Logfile mit anschauen.-Wie gesagt der ist mit einer bootbaren CD erstellt worden. Das Antivir logfile: /mnt/sr0/pcwsoft/pcwCleaner.2-3.z.exe Date:08.04.2008 Time 14:31:43 Size:57344 ALERT:[SPR/Tool.ProcKill.1]/mnt/sr0/pcwsoft/pcwCleaner.2-3.z.exe /mnt/sr0/pcsoft/pcwVistaCleaner.1-1.z.exe Date:08.04.2008 Time 14:31:43 Size: 58368 ALERT:[SPR/Tool.ProckKill.1]/mnt/sr0/pcwsoft/pcwVistaCleaner.1-1 /mnt/sr0/specials/XPUpdate/sp2008.zip Date:10.04.2008 Time 07:11:50 Size: 437818689 WARNING: archive not completely scanned: contents encrypted /mnt/sr0/Vollversion/Abo/pixelcreation.exe Date:11.04.2008 Time:06:48:54 Size 16931788 WARNING: archive not completely scanned: contents encrypted Dieser Beitrag wurde am 17.05.2008 um 19:48 Uhr von Provisitor editiert.
|
|
|
||
17.05.2008, 20:07
Member
Beiträge: 202 |
#21
hm sieht so aus als wenn die cd von der " pc welt " währe und da nix sinnvolles rumkommt
die oberen beiden einträge sehen aus wie fehlalarm der von 2 programmen von der cd ausgelöst würd pcwsoft/pcwCleaner.2-3.z.exe pcwsoft/pcwVistaCleaner.1-1 ( enthalten beide signatur ähnlischkeiten mit [SPR/Tool.ProcKill.1] das ist aber nicht ungewöhnlisch ) die unteren beiden einträge sind fehlermeldungen weil beide dateien nicht komplett gescannt werden konnten befinden sich aber auch auf der boot cd sieht so aus als hättest du nur die boot cd gescannt aber ich denke wen alle programme bissher keinen eindringling finden konnten würd dir antivir von der boot cd dich auch nicht weiter bringen Dieser Beitrag wurde am 17.05.2008 um 20:23 Uhr von Audipower editiert.
|
|
|
||
17.05.2008, 20:20
Ehrenmitglied
Beiträge: 29434 |
#22
««
komisch, dass regdelnull nicht funktioniert hat «« wende otscanit an + poste den kompletten report (eventuell als Anhang, sieh unten) http://virus-protect.org/artikel/tools/otscanit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.05.2008, 00:01
Ehrenmitglied
Beiträge: 29434 |
#23
es ist definitiv ein Hardwarefehler:
Ntfs -> Description = Die Dateisystemstruktur auf dem Datentrger ist beschdigt und unbrauchbarFhren Sie chkdsk auf Volume C aus Zitat Start - Ausführen - cmdich bin jedoch bei Hardwareproblemen nicht so firm, dass ich schlaue Tipps geben könnte. Im log ist auch ersichtlich, dass Windowsdateien fehlen und die Ereignisanzeige ist voller Warn/Error-Fehler Zitat ««Zur Sicherheit sollte man die Festplatte in einem solchen Fall auch mit einem Service-Tool des Festplatten-Herstellers prüfen. Die meisten Hersteller bieten solche Tools kostenlos auf ihrer Homepage an. --- ich übergebe an die Helfer, die von Hardware Ahnung haben... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.05.2008, 11:34
Member
Beiträge: 202 |
#24
habe mal ne liste mit festplatten tools rausgesucht
Hitachi / IBM - DFT "Drive Fitness Test" http://www.hgst.com/hdd/support/download.htm Works with all manufacturers Maxtor "Powermax" http://www.seagate.com/ww/v/index.js...00dd04090aRCRD Works with all manufacturers Samsung "hutil" http://www.samsung.com/Products/Hard...ties/hutil.htm Compatability unknown... wenn du nicht weisst von welchem hersteller deine festplatte stammt würde ich es erst mal mit dem Hitachi tool probieren. Auch wenn die ergebnisse keine garantie sind. Ansonsten wie oben beschrieben hardwaretesten 1 test: Arbeitsspeicher mit mem test http://www.chip.de/downloads/MemTest-3.6_13007829.html 2 testrime 95 als stabilitäts test http://www.computerbase.de/downloads/software/systemueberwachung/prime95/ dort wähle blend oder Torture Test mindestens 2 stunden laufen lassen dabei die CPU temperatur im auge behalten dazu entpfielht sich Core temp http://www.tomshardware.com/de/download/Core-Temp,0301-15477.html Ich haffe mal das dir das weiter hilft |
|
|
||
18.05.2008, 13:02
Member
Themenstarter Beiträge: 325 |
#25
Danke erstmal für eure Mühe !
Die Fehlermeldung mit der Dateisystemstruktur kam auch (nicht immer) nach dem Crash.Danach kam beim nächsten Reboot ein blauer Bildschirm mit weißer Schrift, wo angezeigt wurde, dass, und in welchen Stadium gerade ein Festplattencheck durchgeführt wurde und gegebenenfalls Fragmente repariert wurden (Ordner "Found" wurde mit den wiederhergestellten Fragmenten auf "C" erstellt).Es wurde erfolgreich von Windows "repariert".Das ganze habe ich danach noch manuell wiederholt und eine Datenträgerprüfung von C/Eigenschaften/Extras/Fehlerprüfung/ durchgeführt -auch o.k. Ich habe solchen Fehlern immer wenig PRIMÄRE (!) Bedeutung zugeordnet, weil es geradezu logisch ist, das Schreibfehler auf der Festplatte entstehen, wenn auf einmal der Festplatte der "Saft" abgedreht wird, und der PC abschmiert.Bei jedem "sauberen" herunterfahren ist ja auch angezeigt, dass noch Dateien gespeichert werden müssen.Wie gesagt,- hat Windows das eigentlich immer wieder gut reparieren können. Aber natürlich habe ich auch schon den Gedanken mit einem Hardwarefehler im Hintekopf, es ist bloß verdammt komisch, dass mein PC erst seit diesem blöden Virus diese Macke aufzeigt.Bisher habe ich das Betriebsystem immer in der "Kaufversion" (ohne Servicepack) installiert und noch das Windows "SASSER-PATCH" bei der Installierung hinterhergeschickt,so bin ich fast 5 Jahre gut gefahren,-jetzt mit dem Servicepack (aber SASSER-PATCH weggelassen) aufeinmal so'n Mist. Wie es mir die Zeit erlaubt (der PC ist nicht das einzigste "Wesen" auf der Welt) werde ich noch ein paar Daten auf DVD brennen müssen, und dann werde ich mit den "großen Schrubber" die Festplatte säubern -diesmal aber ganz bestimmt einschließlich fdisk/mbr. |
|
|
||
18.05.2008, 13:15
Member
Beiträge: 202 |
#26
das würd wohl wenig bringen da C die bootpartition ist würd eh ein neuer MBR erstellt wenn du windows neu installierst. Ich denke du bisst festgefahren und hälst dich unötig an dem glauben fest das es einen bootvirus gab.
wahrscheinlischer ist eher das bei einem system absturz ( hardware bedingt ) dateien auf der festplatte beschädigt wurden ( eventuel wurde auch eine platter beschädigt ) eventuell auch teile des MBR Weder CHKDSK noch FIX MBR können sicher alle fehler fixen Deswegen hardware testen wenn da nix rummkommt windows neu Und wenn du ganz sicher sein willst das nichts überlebt (viren, würmer und trojaner auch die im MBR oder sonst wo ) musste am besten die ganze festplatte sicher löschen ( nicht nur den inhalt einer partition) und danch neu formatieren hier findest du ein tool zur sicheren vernischtung http://www.chip.de/artikel/Tarnen-taeuschen-tricksen-Die-besten-Tools-fuer-Datenverschluesselung-5_29212327.html Hier eine entsprechende anleitung für die nutzung http://www.wikidorf.de/reintechnisch/Inhalt/FestplattenLoeschen die funktion QuickErase reischt bei dir vollkommen aus Dieser Beitrag wurde am 18.05.2008 um 13:31 Uhr von Audipower editiert.
|
|
|
||
18.05.2008, 14:39
Member
Themenstarter Beiträge: 325 |
#27
Das habe ich ja auch gemeint, dass ich beide Partitionen lösche.(aber+fdisk/mbr)
Ich habe gelesen, dass der MBR nicht durch bloßes Formatieren (+Neuinstallation) gelöscht wird,-erst durch zusätzliches fdisk/mbr ! Da war von irgendeiner "PT" die rede, erst wenn die gelöscht wird, kann man auf der gesamten Festplatte auf keine Daten mehr zugreifen.(deshalb lässt die normale Neuinstallation den MBR erstmal unangetastet, sonst wäre auch bei mir z.B.die zweite Partition incl.2.Betriebsystem auch mit "weg" gewesen)Auch beim Formatieren wird nur eine Struktur neu erstellt (ähnlich wie ein Schrank-Regal einrichten), der Irrglaube dass alle Dateien dadurch gelöscht sind ist weit verbreitet.Es haben schon viele Ihre alte Platte bei E-bay angeboten die "nur" formatiert waren, und irgendwelche "Cleveren" Leute (Käufer) haben dann die Informationen wieder hochgeholt.Man hat mir gesagt, dass da nur ein s.g. Null-Write-Programm sicher ist-oder man müllt die Festplatte vorher mit irgendwelchen "harmlosen" und datenintensiven Fernsehaufzeichnungen voll, damit vertrauliche Daten zu 100% überschrieben werden. Aber Deine verlinkten Hardware-Tools werde ich mir schon mal anschauen,-kann ja nie schaden wenn man mal die Hardware mit "neutralen" bzw. externen Tools durchcheckt. |
|
|
||
18.05.2008, 14:57
Member
Beiträge: 202 |
#28
ja wie oben beschrieben mit Darik's Boot and Nuke cd wird alles auf der platte genullt bit für bit ( quick mode )
|
|
|
||
19.05.2008, 18:45
Member
Themenstarter Beiträge: 325 |
#29
...nur zur Info:
Ich habe gerade meine Platte getestet (Seagate) mit der gratis-Software "Seatools" des Herstellers; bei 80Gb war 1Error,- aber erst nach dem zweiten "Longscan" nachdem Windows wieder abgestürzt war (wurde danach vom Tool wieder erfolgreich repariert).Den selben Scan hatte ich gleich schon am nachmittag durchgeführt, nach einem "sauberen" Runterfahren; Ergebnis= Null Errors.(1 Scan= ca.1h) Fazit:-Die Abstürze sind für die "Festplattenschreibfehler" verantwortlich- wie schon vermutet.-...Lass' jetzt noch den Prozessor und das Mainboard checken, und dann bin ich eigentlich auch am Ende -und dann ist Schluss mit "Rätselraten".Ich hätte ja hier gerne 'ne "Auflösung" gepostet anstatt eines "fdisk/?(??) -Reports. ...übrigens hat das SeagateTool auch eine "Erase"-Funktion ...ich meld' mich wenn's was neues gibt und der PC wieder "zusammengepuzzelt" ist - kann auch dauern! Dieser Beitrag wurde am 19.05.2008 um 18:54 Uhr von Provisitor editiert.
|
|
|
||
30.06.2008, 01:21
Member
Themenstarter Beiträge: 325 |
#30
So da bin ich nach langer Zeit wieder.
Nachdem ich meine Hardwarekomponenten nach und nach durchgecheckt hatte,bin ich irgendwann darauf gekommen die Batteriezelle auf dem Mainboard zu entfernen, weil ab und zu das Datum auf 1.1. 2003 zurückfiel. Meine Vermutung war, dass sie leer war.Habe mir eine neue besorgt und diese eingesetzt.Der PC läuft jetzt schon seit ca. drei Wochen und die Abstürze traten seitdem nicht mehr auf.Das komische war, dass die alte Batterie nachdem ich sie geprüft hatte, doch nicht leer war !? Sie steckte auch ordnungsgemäß im Sockel bevor ich sie demontierte.Ich habe sie mit einem Messgerät auch unter Last geprüft, ob sie einen Spannungsabfall aufweist, dann ihr einen Kurzschluss verpasst und gleich nochmal gemessen ob die 3V gleich wieder da waren- sie erholte sich rasch wieder um nicht zu sagen sie war gleich wieder voll da, was nicht gerade auf einen Verschleiss schliessen lässt ! Mit anderen Worten hätte ich den Erfolgs-Effekt auch gehabt, wenn ich die alte Batterie ausgebaut hätte und nach 10 min wieder eingesetzt hätte.Meine Vermutung ist, dass durch das Batterieentfernen auf dem Mainboard, es mir irgend ein (mir nützlichen) Reset eines Chips beschert hat, der durch den Virus manipuliert worden war. Ich hatte mir vorher bei den Abstürzen die Bluescreen-Fehlermelungscodes notiert,und hatte bemerkt,(nachdem ich eine Internetseite gefunden hatte, die diese ansatzweise entschlüsselt) dass sie immer verschiedene Codes aufwiesen (gehörten teilweise immer zu unterschiedlichen "Fehlerfamilien") Wie dem auch sei, sollte jemand die selben Scherereien haben, kann er dies ja mal mit in Betracht ziehen -mir hat's geholfen ! Mal noch eine Frage zu Eueren Programmen (Combofix, Outscanit...etc.) -Kann es sein dass einige DVD Laufwerke damit zerschossen werden? Mein (6 Mon alter) LG Brenner hatte nach der Anwendung der Programme keine Double Layer DVD's (und auch einige andere) mehr angerührt (habe ihn im Rahmen der Garantie aber schon umgetauscht bekommen) Gibt es da irgendwelche Erfahrungen, dass man die DVD Laufwerke evtl. vor dem Scan "abziehen" sollte?? Nur mal so zur Info,- denn mein neuer Brenner funktioniert ja wieder, und das soll auch nach dem nächsten Virus so bleiben Dieser Beitrag wurde am 30.06.2008 um 01:28 Uhr von Provisitor editiert.
|
|
|
||
Auf die Gefahr hin, dass mich der Admin bald verschiebt, will ich's jetzt doch endlich wissen !
...Habe heute erstmal eine Ereignisanzeige von Windows anzubieten.
Wer kann daraus etwas deuten ???????
Fehler 1:
Ereignistyp: Fehler
Ereignisquelle: Dhcp
Ereigniskategorie: Keine
Ereigniskennung: 1002
Datum: 17.05.2008
Zeit: 00:55:06
Benutzer: Nicht zutreffend
Computer: XY-XYxPC
Beschreibung:
Die IP-Adresslease 78.XY.123.45 für die Netzwerkkarte mit der Netzwerkadresse 0123DC123456
wurde durch den DHCP-Server 90.123.456.78 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter...
Fehler 2:
Ereignistyp: Fehler
Ereignisquelle: ipnathlp
Ereigniskategorie: Keine
Ereigniskennung: 32003
Datum: 17.05.2008
Zeit: 00:55:06
Benutzer: Nicht zutreffend
Computer: XY-XYxPC
Beschreibung:
Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen.
Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder ein interner Fehler vor.
Die Daten enthalten den Fehlercode.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter....
...und der dazugehörige Shut down alias Save Dump !!!!!
Ereignistyp: Informationen
Ereignisquelle: Save Dump
Ereigniskategorie: Keine
Ereigniskennung: 1001
Datum: 17.05.2008
Zeit: 01:02:52
Benutzer: Nicht zutreffend
Computer: XY-XYxPC
Beschreibung:
Der Computer ist nach einem schwerwiegenden Fehler neu gestartet.
Der Fehlercode war: 0x1000000a (0x0600000e, 0x00000002, 0x00000001, 0x804dc249).
Ein volles Abbild wurde gespeichert in: C:\WINDOWS\Minidump\Mini051708-01.dmp.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter...
"C:\WINDOWS\Minidump\Mini051708-01.dmp" mit welchen Windows-Tool zum Teufel lässt sich die Datei auslesen,- bitte mal um 'ne kurze Beschreibung. Hab sie mal kopiert und mit dem Editor versucht- Pustekuchen!
Mit drwtsn32.exe bekomm' ich's auch nicht hin.
In obigen Zeilen liegt wahrscheinlich mein Problem verschlüsselt und ich weis nicht so richtig was das bedeutet. Kann jemand die Fehlercodierung entschlüsseln?
Der Komentar auf der Microsoft Hilfe dazu :
Product: Windows Operating System
ID: 1001
Source: Save Dump
Version: 5.2
Symbolic Name: EVENT_BUGCHECK_SAVED
Message: The computer has rebooted from a bugcheck. The bugcheck was: %1. A dump was saved in: %2.
...was bedeutet denn das schon wieder ?
Mir wächst bald 'ne Feder !!