Wer kann mir eine Boot-CD für BIOS-UPDATE erstellen.

Dieses Thema Wer kann mir eine Boot-CD für BIOS-UPDATE erstellen. im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von otello11, 4. Feb. 2010.

Thema: Wer kann mir eine Boot-CD für BIOS-UPDATE erstellen. Hallo. Brauche dringend Hilfe. Da meine beiden Notebooks von einem Residenten/TSR Virus befallen sind, kann ich...

  1. Hallo.

    Brauche dringend Hilfe.

    Da meine beiden Notebooks von einem Residenten/TSR Virus befallen sind, kann ich keine saubere Boot-CD erstellen um die beiden Biose zuflashen.

    Suche ein Mitglied, am Besten aus dem Raum Nienburg/Bremen, das in der Lage ist, mir eine bootfähige CD auf einem virenfreien PC, gegen Bezahlung, nach Angaben (habe schon nach den Webseiten gegoogelt) zuerstellen.

    Sollte hier jemand in der Lage sein, bitte melden oder PIN an mich.

    Besten Dank im voraus und Gruß
    otello11
     
  2. kannst du die Notebooks noch starten? ???
    Wenn ja, führe die ersten 3 Schritte durch:
    http://www.wintotal-forum.de/index.php/topic,147847.0.html

    pan_fee
     
  3. Hallo pan_fee.

    Die Notebooks lassen sich noch starten (komme auch ins Bios, Teile der Einstellungen sind gesperrt).
    Das Problem ist, daß mein WINXP Pro im DOSmodus auf Win3.1 umgeschrieben wird und ich ständig Remote über einen unbekannten Server umgeleitet werde.
    Wenn ich die Remoteverbindung in der Registery deakteviere Bootet das Notebook neu und die Verbindung ist wieder da.
    Habe versucht nach Deiner Anleitung die Sachen nach Vorgaben genau abzuarbeiten.

    1.Problem:
    Ich weiß nicht mehr wie der Virus heißt und wo mein Virenprogramm (AVG) den Virus gefunden hat.
    Nach vielen googeln nach Virentypen bin ich zu der Vermutung (nach dem Verhalten meiner Notebooks)gekommen, daß es sich um einen Residenten bzw. TSR Virus handeln kann.

    2.Problem:
    HTJ-LogFile kann ich erstellen, auch evtl. posten.
    Nur wenn ich einen Online-Viren-Scann machen will, geht es nicht, weil immer ein Teil des Online-Scanns gesperrt ist, bekomme immer die Meldung: im Hintergrund läuft ein Virenscanner (auch wenn kein Virenenprogramm inst. ist.)

    Mein Ansatz zur Beseitigung des Virus ist folgender:
    Nach der Anleitung von der Webseite: www.biosflash.com (Durchklicken: Bios, Software, Boot-CD erstellen),
    eine Boot-CD zuerstellen, (kann ich auf meinem notebook wegen dem Virus nicht machen), BIOS-UPDATE durchführen, vor dem automatischen Neustart die RAMbausteine erstmal gegen einen Neuen zuersetzen und mit einer neuen Festplatte ein Notebook neu aufzusetzen.
    Bitte Deine Meinung zu meinem Ansatz.

    Gruß
    otello11
     
  4. :1

    TSR-Viren sind DOS-Viren, die nach der Ausführung im Hauptspeicher resident bleiben und von dort aus alle anderen ausführbaren Dateien infizieren, die nach dem Virus gestartet werden.... und ...TSR-Viren können sich über die verschiedenen BIOS-Interrupts Zugriff auf die Festplatte verschaffen und alle Schreibversuche dahingehend überprüfen, ob der eigene Speicherbereich im Master Boot Record überschrieben werden soll. Dies verhindern sie oder schreiben nach erfolgtem Überschreiben den eigenen MBR wieder zurück.

    MBR und/oder Startsektor defekt
    http://www.wintotal.de/tipparchiv/?id=593

    und
    3.2.2 TSR-Viren in verschiedenen Variationen

    lass sehen

    pan_fee
     
  5. Hallo pan_fee.

    Es müßte ein TSR Virus sein, da nach einem Biosupdate hier auf dem Notebook der Virus trotz neuen RAMriegel (vor dem Update eingesetzt) nach dem 2. booten wieder da ist (nach dem 1. booten hat automatisch nochmal gebootet.)

    Hier ist das HJT-LogFile:

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:16:28, on 04.02.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16981)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\Programme\Avira\AntiVir Desktop\avmailc.exe
    C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\system32\rundll32.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe /min
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\Trend Micro\HijackThis\HijackThis.exe /startupscan
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->?')
    O4 - HKUS\S-1-5-21-776561741-842925246-839522115-1001\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User->?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
    O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SRS PostInstaller Service (SRS_PostInstaller) - SRS Labs, Inc. - C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe
    
    --
    End of file - 4473 bytes
    *Logfile in Codetag eingefügt*
    Hinweis:
    http://www.wintotal-forum.de/index.php/topic,156218.0.html

    Beim Booten habe ich in der Phoenix Secure(tn) Setup Utility Anzeige unter Anderen die Anzeige:
    System Rom: E4C9-FFFF

    Aber nochmal die Frage: Was hälst Du von meinem Ansatz der Entfernung ?
    Bin der Meinung, wenn ich den RAM nach dem Biosupdate und vor dem Auto.-Neustart erneuere und die Festplatte entferne, sollte es mit der Boot-CD klappen

    Gruß
    otello11
     
  6. also dein Logfile hilft uns mal nicht weiter ....

    wenn du hier dein Logfile in die Textbox kopierst und auf den Button [Auswerten] klickst, siehst du deine Auswertung, die angeblich schön sauber ist.

    Warte mal bis der User schrauber vorbei kommt, er kann dir helfen.

    pan_fee
     
  7. Hallo.

    Habe versucht die Logdatei über Einfügen in den CODE zubringen, Einfügen ist bei mir leider nicht möglich.
    Werde auf Schrauber warten, vielleicht hat er ja die Lösung.

    Gruß
    otello11
     
  8. Hallo.

    Hier das GMER LOGFILE:

    Code:
    GMER 1.0.15.15281 - [url]http://www.gmer.net[/url]
    Rootkit scan 2010-02-04 21:46:23
    Windows 5.1.2600 Service Pack 3
    Running: w27n7ein.exe; Driver: C:\DOKUME~1\Boss\LOKALE~1\Temp\pxtdipow.sys
    
    
    ---- System - GMER 1.0.15 ----
    
    SSDT      F7A9AFC6                 ZwCreateKey
    SSDT      F7A9AFBC                 ZwCreateThread
    SSDT      F7A9AFCB                 ZwDeleteKey
    SSDT      F7A9AFD5                 ZwDeleteValueKey
    SSDT      F7A9AFDA                 ZwLoadKey
    SSDT      F7A9AFA8                 ZwOpenProcess
    SSDT      F7A9AFAD                 ZwOpenThread
    SSDT      F7A9AFE4                 ZwReplaceKey
    SSDT      F7A9AFDF                 ZwRestoreKey
    SSDT      F7A9AFD0                 ZwSetValueKey
    SSDT      F7A9AFB7                 ZwTerminateProcess
    SSDT      F7A9AFB2                 ZwWriteVirtualMemory
    
    ---- Kernel code sections - GMER 1.0.15 ----
    
    .text      C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7561380, 0x5414D5, 0xE8000020]
    
    ---- Devices - GMER 1.0.15 ----
    
    AttachedDevice \Driver\Tcpip \Device\Ip         avfwot.sys (TDI filtering kernel driver/Avira GmbH)
    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
    AttachedDevice \Driver\Tcpip \Device\Tcp         avfwot.sys (TDI filtering kernel driver/Avira GmbH)
    AttachedDevice \Driver\Tcpip \Device\Udp         avfwot.sys (TDI filtering kernel driver/Avira GmbH)
    AttachedDevice \Driver\Tcpip \Device\RawIp        avfwot.sys (TDI filtering kernel driver/Avira GmbH)
    
    ---- EOF - GMER 1.0.15 ----
    *Logfile in Codetag eingefügt*
    Wie führe ich einen Code-Tag im Forum ein?:
    http://www.wintotal-forum.de/index.php/topic,156218.0.html

    In CODE einfügen geht bei mir nicht.

    Gruß
    otello11
     
  9. Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)
    • Downloade die MBR.exe von Gmer und
    • speichere es auf Deinem Desktop.
    • Mache einen Doppelklick auf das Programm, um es zu starten.
    • Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
    • Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
    • Poste mir den Inhalt dieser Logdatei hier in den Thread.
     
Die Seite wird geladen...

Wer kann mir eine Boot-CD für BIOS-UPDATE erstellen. - Ähnliche Themen

Forum Datum
nach eine Komplette Hardware-Wechsel kann ich meine Win 10Pro Lizenz wider aktivieren? Windows 10 Forum 20. Okt. 2016
Wie kann ich mehrere Betriebssysteme auf eine HD bringen? Windows 10 Forum 21. Juni 2016
Bestimmter User kann seine Excel Dateien nicht mehr direkt öffnen Software: Empfehlungen, Gesuche & Problemlösungen 16. Apr. 2016
Ich kann unter Windows 10 keine Blurays mehr abspielen Windows 10 Forum 28. Feb. 2016
Kann keine Eckklammern mehr machen. Windows 10 Forum 21. Feb. 2016