Wer kann mir eine Boot-CD für BIOS-UPDATE erstellen.

  • #1
O

otello11

Mitglied
Themenersteller
Dabei seit
10.11.2009
Beiträge
8
Reaktionspunkte
0
Hallo.

Brauche dringend Hilfe.

Da meine beiden Notebooks von einem Residenten/TSR Virus befallen sind, kann ich keine saubere Boot-CD erstellen um die beiden Biose zuflashen.

Suche ein Mitglied, am Besten aus dem Raum Nienburg/Bremen, das in der Lage ist, mir eine bootfähige CD auf einem virenfreien PC, gegen Bezahlung, nach Angaben (habe schon nach den Webseiten gegoogelt) zuerstellen.

Sollte hier jemand in der Lage sein, bitte melden oder PIN an mich.

Besten Dank im voraus und Gruß
otello11
 
  • #3
Hallo pan_fee.

Die Notebooks lassen sich noch starten (komme auch ins Bios, Teile der Einstellungen sind gesperrt).
Das Problem ist, daß mein WINXP Pro im DOSmodus auf Win3.1 umgeschrieben wird und ich ständig Remote über einen unbekannten Server umgeleitet werde.
Wenn ich die Remoteverbindung in der Registery deakteviere Bootet das Notebook neu und die Verbindung ist wieder da.
Habe versucht nach Deiner Anleitung die Sachen nach Vorgaben genau abzuarbeiten.

1.Problem:
Ich weiß nicht mehr wie der Virus heißt und wo mein Virenprogramm (AVG) den Virus gefunden hat.
Nach vielen googeln nach Virentypen bin ich zu der Vermutung (nach dem Verhalten meiner Notebooks)gekommen, daß es sich um einen Residenten bzw. TSR Virus handeln kann.

2.Problem:
HTJ-LogFile kann ich erstellen, auch evtl. posten.
Nur wenn ich einen Online-Viren-Scann machen will, geht es nicht, weil immer ein Teil des Online-Scanns gesperrt ist, bekomme immer die Meldung: im Hintergrund läuft ein Virenscanner (auch wenn kein Virenenprogramm inst. ist.)

Mein Ansatz zur Beseitigung des Virus ist folgender:
Nach der Anleitung von der Webseite: (Durchklicken: Bios, Software, Boot-CD erstellen),
eine Boot-CD zuerstellen, (kann ich auf meinem notebook wegen dem Virus nicht machen), BIOS-UPDATE durchführen, vor dem automatischen Neustart die RAMbausteine erstmal gegen einen Neuen zuersetzen und mit einer neuen Festplatte ein Notebook neu aufzusetzen.
Bitte Deine Meinung zu meinem Ansatz.

Gruß
otello11
 
  • #4
otello11 schrieb:
Habe versucht nach Deiner Anleitung die Sachen nach Vorgaben genau abzuarbeiten.
Zum Vergrößern anklicken....
:1

daß es sich um einen Residenten bzw. TSR Virus handeln kann
Zum Vergrößern anklicken....
und ...TSR-Viren können sich über die verschiedenen BIOS-Interrupts Zugriff auf die Festplatte verschaffen und alle Schreibversuche dahingehend überprüfen, ob der eigene Speicherbereich im Master Boot Record überschrieben werden soll. Dies verhindern sie oder schreiben nach erfolgtem Überschreiben den eigenen MBR wieder zurück.

MBR und/oder Startsektor defekt


und


HTJ-LogFile kann ich erstellen, auch evtl. posten.
Zum Vergrößern anklicken....
lass sehen

pan_fee
 
  • #5
Hallo pan_fee.

Es müßte ein TSR Virus sein, da nach einem Biosupdate hier auf dem Notebook der Virus trotz neuen RAMriegel (vor dem Update eingesetzt) nach dem 2. booten wieder da ist (nach dem 1. booten hat automatisch nochmal gebootet.)

Hier ist das HJT-LogFile:

Code: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:28, on 04.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\Trend Micro\HijackThis\HijackThis.exe /startupscan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->?')
O4 - HKUS\S-1-5-21-776561741-842925246-839522115-1001\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User->?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SRS PostInstaller Service (SRS_PostInstaller) - SRS Labs, Inc. - C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe

--
End of file - 4473 bytes
*Logfile in Codetag eingefügt*
Hinweis:


Beim Booten habe ich in der Phoenix Secure(tn) Setup Utility Anzeige unter Anderen die Anzeige:
System Rom: E4C9-FFFF

Aber nochmal die Frage: Was hälst Du von meinem Ansatz der Entfernung ?
Bin der Meinung, wenn ich den RAM nach dem Biosupdate und vor dem Auto.-Neustart erneuere und die Festplatte entferne, sollte es mit der Boot-CD klappen

Gruß
otello11
 
  • #6
also dein Logfile hilft uns mal nicht weiter ....

wenn du dein Logfile in die Textbox kopierst und auf den Button [Auswerten] klickst, siehst du deine Auswertung, die angeblich schön sauber ist.

Warte mal bis der User schrauber vorbei kommt, er kann dir helfen.

pan_fee
 
  • #7
Hallo.

Habe versucht die Logdatei über Einfügen in den CODE zubringen, Einfügen ist bei mir leider nicht möglich.
Werde auf Schrauber warten, vielleicht hat er ja die Lösung.

Gruß
otello11
 
  • #9
Hallo.

Hier das GMER LOGFILE:

Code: 
GMER 1.0.15.15281 - [url]http://www.gmer.net[/url]
Rootkit scan 2010-02-04 21:46:23
Windows 5.1.2600 Service Pack 3
Running: w27n7ein.exe; Driver: C:\DOKUME~1\Boss\LOKALE~1\Temp\pxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT      F7A9AFC6                 ZwCreateKey
SSDT      F7A9AFBC                 ZwCreateThread
SSDT      F7A9AFCB                 ZwDeleteKey
SSDT      F7A9AFD5                 ZwDeleteValueKey
SSDT      F7A9AFDA                 ZwLoadKey
SSDT      F7A9AFA8                 ZwOpenProcess
SSDT      F7A9AFAD                 ZwOpenThread
SSDT      F7A9AFE4                 ZwReplaceKey
SSDT      F7A9AFDF                 ZwRestoreKey
SSDT      F7A9AFD0                 ZwSetValueKey
SSDT      F7A9AFB7                 ZwTerminateProcess
SSDT      F7A9AFB2                 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text      C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7561380, 0x5414D5, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip         avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp         avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\Udp         avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\RawIp        avfwot.sys (TDI filtering kernel driver/Avira GmbH)

---- EOF - GMER 1.0.15 ----
*Logfile in Codetag eingefügt*
Wie führe ich einen Code-Tag im Forum ein?:


In CODE einfügen geht bei mir nicht.

Gruß
otello11
 
  • #10
Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)
  • Downloade die MBR.exe von und
  • speichere es auf Deinem Desktop.
  • Mache einen Doppelklick auf das Programm, um es zu starten.
  • Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
  • Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
  • Poste mir den Inhalt dieser Logdatei hier in den Thread.
 
  • #11
otello11 schrieb:
In CODE einfügen geht bei mir nicht.
Zum Vergrößern anklicken....

was soll da nicht gehen? ???
du brauchst doch nur VOR deinem Logfile [ code] und NACH deinem Logfile [/ code] eintippen.
(ohne Leerzeichen)
[sub]die eckige Klammer ([) findest du auf deiner Tastatur unter ( bzw. 8 und die andere (]) unter ) bzw. 9[/sub]

pan_fee
 
  • #12
Hallo.

Hier das MBR-LogFile

Code: 
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, [url]http://www.gmer.net[/url]

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Gruß
otello11
 
  • #13
hm, looks good.

schau mal in deinem av programm was da angemeckert wurde, evt müssen wir mal ein komplettes scantool laufen lassen.
 
Thema:

Wer kann mir eine Boot-CD für BIOS-UPDATE erstellen.

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben