PhysicalDrive0 Unknown MBR code?? Virus oder nicht ?? |
||
---|---|---|
#0
| ||
01.06.2011, 00:30
Member
Beiträge: 18 |
||
|
||
02.06.2011, 09:30
Member
Themenstarter Beiträge: 18 |
#2
Hallo,
hatte ich vergessen das Netbook wird von mehreren Leuten benutzt und ich darf jetzt die Fehlerbehebung machen. Ich habe Ad-Aware installiert und 2 Funde bekommen. Code Logfile created: 01.06.2011 15:27:45Danach habe ich Spybot deinstalliert und komplett neuinstalliert mit tea-timer und so. Spybot hat nix gefunden. Außerdem habe ich GData Antivirus laufen lassen ohne Fund. Deinstalliert habe ich Avira Antivir, GData Antivir VG boubou Dieser Beitrag wurde am 02.06.2011 um 14:54 Uhr von boubou editiert.
|
|
|
||
03.06.2011, 14:57
Moderator
Beiträge: 5694 |
#3
Hallo und herzlich Willkommen auf Protecus.de
Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte: • Halte Dich an die Anweisungen des jeweiligen Helfers. • Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an. • Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden. • Bitte arbeite jeden Schritt der Reihe nach ab. • Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben. • Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt. • Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist. • Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden. • Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden. • Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird. • Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert. • Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät. • In letzter Instanz ist dann immer der User welcher entscheidet. Vista und Win7 User: Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen. Schritt 1 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop. • BleepingComputer • ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören. • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen. • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen. • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread. |
|
|
||
03.06.2011, 19:25
Member
Themenstarter Beiträge: 18 |
#4
Hallo Swisstreasure,
Danke für die Hilfe. Ich glaube ich habe die Datei nicht umbenannt, hoffe es ist nicht allzu schlimm? Ich habe festgestellt, dass ich 2 DVD-Laufwerke im Arbeitsplatz habe, doch das Netbook hat nicht mal eins? Hier das Log-File Code ComboFix 11-06-01.07 - Philippe 03.06.2011 18:54:28.1.2 - x86P.S. Wir haben noch ein anderes Notebook das läüft seit gestern total langsam. Soll ich für das Problem einen ähnlichen alten Thread benutzen? VG und Danke boubou Dieser Beitrag wurde am 03.06.2011 um 22:59 Uhr von boubou editiert.
|
|
|
||
04.06.2011, 14:53
Moderator
Beiträge: 5694 |
#5
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code
Speichere dies als CFScript.txt auf Deinem Desktop. Wichtig: • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen! • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt. • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann. • Mache nichts am PC solange ComboFix läuft. • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein. Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. |
|
|
||
04.06.2011, 15:21
Member
Themenstarter Beiträge: 18 |
#6
Hallo swisstreasure,
Code ComboFix 11-06-04.02 - Philippe 04.06.2011 15:03:52.3.2 - x86VG boubou |
|
|
||
04.06.2011, 15:48
Moderator
Beiträge: 5694 |
#7
Und wie läufts?
|
|
|
||
04.06.2011, 16:32
Member
Themenstarter Beiträge: 18 |
#8
Hallo Swisstreasure,
es läuft, was aber nichts heißen soll, da das System die ganze Zeit unauffällig war. Habe nur durch Zufall andere Scanner laufen lassen. Antivir hatte nix gefunden, MBAM hatte nix gefunden, avast hatte 2 Meldungen, Kaspersky hatte einen Fund und MBRcheck hat immer noch PhysicalDrive0 Unknown MBR. Soll ich die anderen Scans wiederholen oder hast du noch einen Tipp? Ich wollte mit der WinXp CD den MBR neuschreiben. Ach ja und im Arbeitsplatz zeigt das Netbook 2 DVD-Laufwerke an, das Netbook hat aber gar keine?? Habe einen Scan mit DrWeb gemacht Code OTL.exe C:\Dokumente und Einstellungen\Philippe\Desktop Trojan.Siggen2.33900 Nicht desinfizierbar.Verschoben.VG boubou Dieser Beitrag wurde am 04.06.2011 um 20:38 Uhr von boubou editiert.
|
|
|
||
04.06.2011, 20:51
Member
Beiträge: 5291 |
#9
Zitat ...und MBRcheck hat immer noch PhysicalDrive0 Unknown MBR.Könnte man auch erstmal den MBR mit einem frischen bootrecord beschreiben, schaden kann es jedenfalls nichts wenn sich dort Fremddaten befinden. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
04.06.2011, 20:54
Member
Themenstarter Beiträge: 18 |
||
|
||
04.06.2011, 22:07
Member
Beiträge: 5291 |
#11
Zitat boubou posteteJa das wäre eine Möglichkeit, bei weitem nicht die einzigste. Ich denke das fixmbr innerhalb der rescue console das erledigen wird. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
05.06.2011, 00:24
Member
Themenstarter Beiträge: 18 |
#12
So ich habe das mbr gefixed.
Code MBRCheck, version 1.2.3Danach habe ich einen Scan mit Kaspersky durchgeführt und keine Funde festgestellt. Welche Antiviren-Software und was für eine Firewall würdet Ihr empfehlen? Danke boubou |
|
|
||
06.06.2011, 10:04
Member
Themenstarter Beiträge: 18 |
#13
Hallo Swisstreasure,
ich habe gestern Nacht McAfee Stinger (Report only) laufen lasen und leider kam dieses Ergebnis: Code McAfee(r) Labs Stinger(tm) Version 10.1.0.1629 built on May 27 2011Kaspersky und Jottis Malwarescan blieben Ergebnis los VG boubou Dieser Beitrag wurde am 06.06.2011 um 10:15 Uhr von boubou editiert.
|
|
|
||
06.06.2011, 10:31
Member
Beiträge: 5291 |
#14
Zitat Kaspersky und Jotti Malwarescan blieben Ergebnis losNaja das kann genauso ein false positive sein, die AVs werden untereinander immer ein etwas differenziertes Ergebnis haben (daher bin ich ja auch gegen die AV Idee, weil der Grundsatz an sich schon falsch ist). Wenn du ganz sicher sein willst setz halt alles neu auf. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
06.06.2011, 10:58
Member
Themenstarter Beiträge: 18 |
||
|
||
gestern habe ich versucht mittels schnell Suche (bei Firefox links oben) bei Google etwas zu suchen.
Die Suche dauerte ziemlich lang ca. 1-2min., danach folgte ein leeres Fenster. Beim warten bzw. Aufbau der leeren Seite fiel mir eine Adresse, auf johndoeppctest.com (glaube ich).
Diese Adresse habe ich bei Google nach geschaut. Wenn ich Google.de direkt eingebe dann baut sich die Seite auf.
Das Ergebnis der Suche brachte einen Hinweis auf einen Virus im MBR.
Ich habe dann GMER laufen lassen und leider beim 1. Lauf nicht auf no geklickt. Als Ergebnis wurde eine hidden markierte (in rot) Acrord32.exe gemeldet.
Avira AntiVir laufen gelassen Keine Funde! AVAST installiert und laufen lassen.
Das Programm hat etwas gefunden und mein System Runtergefahren und vor dem Neustart auf Viren gescannt und dabei kam das Ergebnis: MBR 0 infiziert WIN32:MBRoot-J[Trj], ich habe dann löschen gewählt und die Datei wurde gelöscht.
Es folgte eine Fehler über eine andere Datei, diese konnte ich nich löschen und nicht reparieren. Habe dann ignorieren gewählt.Keine weiteren Funde.
WinXP startete neu und AVAST meldet wieder PhysicalDrive0 Unknown MBR code auch dieses mal habe ich löschen gewählt.
Danach wollte AVAST Neustarten, habe es zu gelassen und es folgte wieder der Scan diesmal ohne Fund. Winxp startet wieder und AVAST meldet wieder ein Fund auch gelöscht.
Neustart und MBAM(kein Fund), GMER(kein Fund), aswMbr(Fund log anbei), Mbrcheck(Fund log anbei) und OTL(log anbei) laufen lassen.
Jetzt gibt AVAST keine Meldung mehr und findet auch nix mehr aber dafür Mbrcheck.
So nun die OTL logs
Code
OTL extraCode
aswMbr logCode
Mbrcheck logCode
Ich glaube ich habe alles gepostet was ich habeFreu mich auf Hilfe und hoffe alles richtig gemacht zu haben.
MfG boubou