Virus in Bios?

Sky95

Hallo liebes Paule-Pc-Forum,
ich habe mal wieder ein Problem. Der Laptop meines Vaters wurde "wahrscheinlich" von einem Virus infiziert.
Das äußerte sich dadurch, dass weder Maus noch Tastatur funktionieren. Doch ich fang mal von vorne an.
Alles lief normal und der Laptop wurde hochgefahren. Er hatte damals noch Windows XP. Dann konnte man sich einloggen, mit Passwort und die Maus funktionierte auch noch. Doch fast direkt nach dem Einloggen, ca. 10sek. später, funktionierten Maus und tastatur in keinster Weise. "Seltsam Seltsam...", dachte ich und probierte das Hochfahren im abgesicherten Modus. Selbes Problem.
Dann haben wir auf Empfehlung eines Bekannten, mal in Bios einen Hardware-Test gemacht. Nichts gefunden...
Von da an, ging gar nichts mehr. Während des Hochfahrens, kam nämlich ab nun ein Bluescreen mit folgender Textmeldung:"Windows has a fatal error. It will shutdown to prevent...". Den Rest wissen wir leider nicht mehr.

Da da das Problem nicht wegging, die Daten sowieso auf einem USB-Stick sicher waren und mein Vater mal updaten wollte, installierten wir Windows 7.

Gesagt getan.
Alles ging klar und ich dachte schon Problem gelöst, denn auch nach mehreren Neustarts, ging alles. Doch kaum war mein Vater zuhause, den ich überraschen wollte, dass ich seinen Computer installiert hatte, war das selbe Problem wie vorher. Einloggen geht noch. Danach Zack. Tastatur und Maus sind disabled, um Englisch zu können

Aber mal Spaß bei Seite.

Unser Nachbar, sagte uns, als wir zwischendurch mal darüber sprachen, dass er das selbe Problem hatte und sich "etwas im Bios eingenistet" hätte.

Kann das sein? und wenn ja, wie geht es wieder weg?

Ich hoffe ihr könnt mir helfen und wünsche euch nebenbei eine schöne Weihnachtszeit

*EDIT*: Fast vergessen... Vor dem Allem, also noch bevor das das erste mal auftrat, kam eine Fehlermeldung von Avira, dass ein Trojaner entdeckt wurde. Nach dem bereinigen ging das Hochfahren nicht mehr, weil da wieder mal ein Blue-screen kam, der sagte:"Windows has detected a Virus. It will shutdown, to prevent...". Bei erneutem Hochfahren, ging wieder alles. Bloß trat dann das erste Mal, das Problem auf.

Der Leo

Hall Sky95,

vielleicht funktoniert OTLPE auf dem System.

Hast du einen 2. Pc oder Laptop mit Brenner? Wenn ja mach bitte folgendes.
Lad dir zuerst OTLPENet herunter.

Download dir OTLPENet
Lege ein CD Rohling ins Laufwerk ein
Klicke auf die OTLPENet.exe
Es öffnet sich nun ImgBurn und brennt die ISO Datei automatisch auf die CD
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
Mache einen doppel Klick auf das OTLPE Icon.
Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
OTL sollte nun starten
Kopiere folgendes in die Textbox

Code

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe

Alles anzeigen

Drücke Run Scan um den Scan zu starten.
Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Wichtig!

OTLPENet stürzt mit einem Bluescreen ab

SollteOTLPENet bei start mit einer Bluescreenmeldung abstürzen so muss im BIOS von AHCI auf IDE oder von IDE auf AHCI umgestellt werden.

Browse For Folder

OTL benötigt eine Ordner. Bitte c:\windows auswählen und nicht aufklappen sondern nur anklicken.

Sky95

Bin dabei. Denke mal kannst mit ner Rückmeldung in 15-25min. rechnen.

Sky95

Zitat

Browse For Folder

OTL benötigt eine Ordner. Bitte c:\windows auswählen und nicht aufklappen sondern nur anklicken.

C:\Windows existiert nicht.

Es existieren nur die Ordner "Boot" und "System Volume Information". unter c. und als ich c angeklickt habe, hat es sich aufgeklappt

Der Leo

Du musst dich etwas durchhangeln, kann gut sein das es z.B F oder X ist. Auf irgendeiner Platte (Partition) muss Windows installiert sein...

Sky95

Bin grade dabei, dass für OTL einzugeben. Kann ich das auch mit meinem USB-Stick rüberziehen, oder muss ich das von hand abtippen?

Der Leo

Klar, erstelle ein Textdokument (das Script einfach dort einfügen) und kopiere dieses auf einen USB Stick. Den dann an dem betroffenen Rechner anschließen.

Sky95

wusste jetzt nicht wie das ist, weil die sich ja auch über wechseldatenträger verbreiten können. aber danke

Der Leo

Zum Thema Malware im BIOS. Nach meinen Informationen gibt es keine Malware die in freier Wildbahn ist und das BIOS infiziert.
Heutzutage ist aber leider alles möglich - Halte es dennoch für eher unwahrscheinlich.
Es gab Malware, die das BIOS überschreiben konnte.

Oft handelt es sich um ein Rootkit wie TDSS (alias TDL4) welches den MBR befällt. Wenn Windows nur drüber Installiert wird, dann wird sich das Rootkit nach der "Neuinstallation" wieder aktivieren.
In diesem Fall müssen alle Partitionen gelöscht und alle Festplatten formatiert werden.

Sky95

Otl läuft grade durch, aber ich hatte bei der Neuinstallation von Windows 7 eig. alle Festplatten deaktiviert.

Sky95

File-Upload.net - OTL.Txt

Was wäre eigentlich, wenn wir den Rechner jetzt nicht hinkriegen? ist der dann ganz fürn Müll?

Der Leo

Bi jetzt sehe ich nichts auffälliges.

Versuch doch bitte folgendes im "OTLPE Modus"
https://www.paules-pc-forum.de/forum/hardware…s-auslesen.html
Du kannst auch hier wieder mit dem Texteditor für das Script arbeiten.

Zitat

Was wäre eigentlich, wenn wir den Rechner jetzt nicht hinkriegen? ist der dann ganz fürn Müll?

Erstmal muss geklärt werden, wo der Fehler liegt. Erst dann können wir dir sagen was am besten zu tun ist...

Sky95

Um jetzt nichts falsch zu machen. Ich soll von hier PPF downloaden und dann den Eventlog von Windows auslesen?

Denn was hat das den mit OTLPE Modus zu tun?

Der Leo

Naja, ich gehe davon aus das Du dein Windows nicht starten kannst und die Maus sowie Tastatur nicht verwenden kannst.
Da es mit OTLPE geht, wäre es eine Möglichkeit das Tool dort auszuprobieren.

Zitat

Um jetzt nichts falsch zu machen. Ich soll von hier PPF downloaden und dann den Eventlog von Windows auslesen?
Denn was hat das den mit OTLPE Modus zu tun?

Richtig ja, da der "normale Modus" nicht funktoniert müssen wir das über eine Live CD machen. OTLPE ist in diesem Fall die Live CD.

Sky95

File-Upload.net - Eventlog.txt

File-Upload.net - Scripting.txt

AxT

Steht leider nichts wichtiges drin.
Mal schauen, was wir da machen...

AxT

Einmal bitte über die Windows-CD booten und den RAM Testen.

Sky95

wie mache ich das mit dem Ram testen?
PS:Sorry, dass das so lange gedauert hat, war am Abendessen.
Ich würde euch bitten, wenn es euch nicht stört, dass wir morgen weitermachen, da ich gerne noch den Abend mit meiner Familie verbringen würde.

wenn ihr umbedingt noch weitermachen wollt, dann sagt mir bescheid, dann machen wir das jetzt

AxT

Windows7 Installations-CD Einlegen.
Von der CD starten lassen.
Dann aber nicht auf installieren klicken, sondern unten links auf die Computerreparaturoptionen.
Windowsinstallationen werden dann gesucht.
Bei den Systemreparaturoptionen Dann das Memory Diagnostic Tool auswählen.
Neustarten und checken lassen. Auf Fehler achten - da das system nicht funktioniert, werden die dir später nicht angezeigt.

Sky95

tschuldige, dass ich gestern nicht mehr on war, um mich abzumelden. Ich nutze diese kurze chance auch nur um mich abzumelden, da ich momentan ganz plötzlich viel zu tun habe. Du kannst leider erst ab montag mit mir rechnen.

Jetzt mitmachen!