rootkit in master boot record, rootkit mbr - mbr.exe -f


startStartseite | gastbuch Gästebuch | kontakt Kontakt | protecus Protecus.de Forum | virus weltkarte Virus Weltkarte
rootkit in master boot record

master boot record



Topics



Rootkit im Master Boot Record (MBR)

MBR rootkit infection detected Panda Security meldet neue Trojaner-Exemplare, die aufgrund integrierter Rootkits in der Lage sind, den Master Boot Record (MBR) von infizierten Computern auszutauschen.

MBR rootkit infection detected http://www2.gmer.net/mbr/mbr.exe
mbr.exe

Download mbr.exe zum Desktop
Doppelklick mbr.exe um das Tool zu starten
Es wird ein Log erstellt und poste dessen Inhalt in deinen Beitrag im Sicherheitsforum






MBR rootkit infection detected Zuerst müssen (proactieve defense) aktieve scanner de-aktiviert werden
Wenn Guards benutzt werden, auch de-aktivieren (Teatimer)

Man muss die mbr.exe direkt in den Root auf C:\ downloaden

mbr

Dann via Start - Ausführen >> schreibe rein: cmd
reinkopieren :

C:\mbr.exe -f

auf c:\ wir dann ein mbr.log abgelegt

mbr.log

MBR rootkit infection detected oder:

cmd

Start --> Ausführen cmd und dort auf c:\ wechseln mit cd c:\
Enter klicken und

mbr.exe -f

eingeben

mbr.exe -f




MBR rootkit infection detected Wenn mbr nicht Infiziert ist:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK

MBR rootkit infection detected Wenn aber Infiziert

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix


MBR rootkit infection detected Lösung

mbr.exe auf C:\ laden (oder aufs Desktop laden und dann auf C:\ verschieben)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\
Gebe bei Dateityp 'Alle Dateien' an.

mbr.exe -f

Du solltest jetzt in C:\ diese Datei fix.bat finden.
Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag im Sicherheitsforum


Logfile( mbr.log )
tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !

malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

http://www2.gmer.net/mbr


mbr Suchbegriff eingeben:
Benutzerdefinierte Suche









masterbootrecord neu erstellen Masterbootrecord neu erstellen

Link: masterbootrecord

Combofix - Erstellen der Windows Recovery Console Wiederherstellungskonsole installieren:

Combofix - Erstellen der Windows Recovery Console
combofix-konsole

oder:

Combofix - Erstellen der Windows Recovery Console
1. XP-CD einlegen

2. Auf Start->Ausführen klicken

3. X:\i386\winnt32.exe /cmdcons - eingeben, X= der Laufwerksbuchstabe für das CD-Rom

4. Installation mit JA bestätigen

5. Neustart. Ab sofort hat man im Startmenü der Eintrag "Microsoft Windows- Wiederherstellungskonsole"

Link: microsoftmanagementconsole




Verseuchung MBR BEISPIEL - Verseuchung MBR:

sdfix - Sdfix

Could Not Remove C:\WINDOWS\Temp\bca4e2da.$$$
Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$



sdfix nach: mbr.exe -f - Sdfix

Trojan Files Found:
C:\WINDOWS\Temp\bca4e2da.$$$ - Deleted
C:\WINDOWS\Temp\ed47fa.$ - Deleted
C:\WINDOWS\Temp\fa56d7ec.$$$ - Deleted



Verseuchung MBR otmoveIt

[kill explorer]
EmptyTemp
purity
[start explorer]


Explorer killed successfully
EmptyTemp
File delete failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
purity
Explorer started successfully
Valid HTML 4.01 Ranking-Hits