Rootkit im Master Boot Record (MBR)
Panda Security meldet neue Trojaner-Exemplare, die aufgrund integrierter Rootkits
in der Lage sind, den Master Boot Record (MBR) von infizierten Computern auszutauschen.
http://www2.gmer.net/mbr/mbr.exe
mbr.exe
Download mbr.exe zum Desktop
Doppelklick mbr.exe um das Tool zu starten
Es wird ein Log erstellt und poste dessen Inhalt in deinen Beitrag im Sicherheitsforum
Zuerst müssen (proactieve defense) aktieve scanner de-aktiviert werden
Wenn Guards benutzt werden, auch de-aktivieren (Teatimer)
Man muss die mbr.exe direkt in den Root auf C:\ downloaden
Dann via Start - Ausführen >> schreibe rein: cmd
reinkopieren :
C:\mbr.exe -f
auf c:\ wir dann ein mbr.log abgelegt
oder:
Start --> Ausführen cmd und dort auf c:\ wechseln mit cd c:\
Enter klicken und
mbr.exe -f
eingeben
Wenn mbr nicht Infiziert ist:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
Wenn aber Infiziert
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix
Lösung
mbr.exe auf C:\ laden (oder aufs Desktop laden und dann auf C:\ verschieben)
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\
Gebe bei Dateityp 'Alle Dateien' an.
mbr.exe -f
Du solltest jetzt in C:\ diese Datei fix.bat finden.
Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag im Sicherheitsforum
Logfile( mbr.log )
tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !
http://www2.gmer.net/mbr
|
Suchbegriff eingeben:
|
|
Masterbootrecord neu erstellen
Link: masterbootrecord
Wiederherstellungskonsole installieren:
Combofix - Erstellen der Windows Recovery Console
combofix-konsole
oder:
1. XP-CD einlegen
2. Auf Start->Ausführen klicken
3. X:\i386\winnt32.exe /cmdcons - eingeben, X= der Laufwerksbuchstabe für das CD-Rom
4. Installation mit JA bestätigen
5. Neustart. Ab sofort hat man im Startmenü der Eintrag "Microsoft Windows-
Wiederherstellungskonsole"
Link: microsoftmanagementconsole
BEISPIEL - Verseuchung MBR:
sdfix - Sdfix
Could Not Remove C:\WINDOWS\Temp\bca4e2da.$$$
Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$
sdfix nach: mbr.exe -f - Sdfix
Trojan Files Found:
C:\WINDOWS\Temp\bca4e2da.$$$ - Deleted
C:\WINDOWS\Temp\ed47fa.$ - Deleted
C:\WINDOWS\Temp\fa56d7ec.$$$ - Deleted
otmoveIt
[kill explorer]
EmptyTemp
purity
[start explorer]
|
Explorer killed successfully
EmptyTemp
File delete failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
purity
Explorer started successfully
|
Startseite |
Gästebuch |
Kontakt |
Protecus.de Forum |
Virus Weltkarte
