Rootkit im Master Boot Record (MBR)

• Panda Security meldet neue Trojaner-Exemplare, die aufgrund integrierter Rootkits in der Lage sind, den Master Boot Record (MBR) von infizierten Computern auszutauschen.



http://www2.gmer.net - (mbr.exe)

• Download mbr.exe zum Desktop
• Doppelklick mbr.exe um das Tool zu starten
• Es wird ein Log erstellt und
• poste dessen Inhalt in deinen Beitrag im Sicherheitsforum



MBR rootkit infection detected Zuerst müssen (proactive defense) aktive Scanner de-aktiviert werden
Wenn Guards benutzt werden, auch de-aktivieren ( z.b. Teatimer)

Man muss die mbr.exe direkt in den Root auf C:\ downloaden

mbr


Dann via Start - Ausführen >> schreibe rein: cmd
reinkopieren : C:\mbr.exe -f
auf c:\ wir dann ein mbr.log abgelegt

mbr.log

MBR rootkit infection detected oder:

cmd

Start --> Ausführen cmd und dort auf c:\ wechseln mit cd c:\
Enter klicken und

mbr.exe -f

eingeben

mbr.exe -f




MBR rootkit infection detected Wenn mbr nicht Infiziert ist:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK

MBR rootkit infection detected Wenn aber Infiziert:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix

MBR rootkit infection detected Lösung

mbr.exe auf C:\ laden (oder aufs Desktop laden und dann auf C:\ verschieben)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\
Gebe bei Dateityp 'Alle Dateien' an.

mbr.exe -f

Du solltest jetzt in C:\ diese Datei fix.bat finden.
Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag im Sicherheitsforum

Logfile( mbr.log )
tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !

malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !


http://www2.gmer.net/mbr





suche Suchbegriff eingeben
Benutzerdefinierte Suche

Werbung

Masterbootrecord neu erstellen
Link: weiter...

Konsole installieren
Combofix - Erstellen der Windows Recovery Console

Link: weiter...
oder
1. XP-CD einlegen

2. Auf Start->Ausführen klicken

3. X:\i386\winnt32.exe /cmdcons

eingeben, X= der Laufwerksbuchstabe für das CD-Rom

4. Installation mit JA bestätigen

5. Neustart. Ab sofort hat man im Startmenü der Eintrag "Microsoft Windows- Wiederherstellungskonsole" Link: weiter...

BEISPIEL Verseuchung MBR
sdfix - weiter...

Could Not Remove C:\WINDOWS\Temp\bca4e2da.$$$
Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$


sdfix nach Anwendung von : mbr.exe -f

Trojan Files Found:
C:\WINDOWS\Temp\bca4e2da.$$$ - Deleted
C:\WINDOWS\Temp\ed47fa.$ - Deleted
C:\WINDOWS\Temp\fa56d7ec.$$$ - Deleted


OtmoveIt weiter...

[kill explorer]
EmptyTemp
purity
[start explorer]


Beispiel:

Explorer killed successfully
EmptyTemp

File delete failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be deleted on reboot.

Temp folders emptied.
IE temp folders emptied.
purity
Explorer started successfully


Anzeige
Counter
Counter-Box.de
Virus-Suche
(einzelne Dateien)
klick:

Social Bookmarks
Bei allen Services (Mister Wong, Yigg, Infopirat etc.) bookmarken
virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam