rootkit in master boot record

Master Boot
Record
neu erstellen

Rootkit im Master Boot Record (MBR)

• Panda Security meldet neue Trojaner-Exemplare, die aufgrund integrierter Rootkits in der Lage sind, den Master Boot Record (MBR) von infizierten Computern auszutauschen.

• http://www2.gmer.net - (mbr.exe)

• Download mbr.exe zum Desktop
• Doppelklick mbr.exe um das Tool zu starten
• Es wird ein Log erstellt und
• poste dessen Inhalt in deinen Beitrag im Sicherheitsforum

Zuerst müssen (proactive defense) aktive Scanner de-aktiviert werden
Wenn Guards benutzt werden, auch de-aktivieren ( z.b. Teatimer)

Man muss die mbr.exe direkt in den Root auf C:\ downloaden

mbr

Dann via Start - Ausführen >> schreibe rein: cmd
reinkopieren : C:\mbr.exe -f
auf c:\ wir dann ein mbr.log abgelegt

mbr.log

oder:

Start --> Ausführen cmd und dort auf c:\ wechseln mit cd c:\
Enter klicken und

mbr.exe -f

eingeben

Wenn mbr nicht Infiziert ist:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK

Wenn aber Infiziert:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix

Lösung

mbr.exe auf C:\ laden (oder aufs Desktop laden und dann auf C:\ verschieben)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\
Gebe bei Dateityp 'Alle Dateien' an.

mbr.exe -f

Du solltest jetzt in C:\ diese Datei fix.bat finden.
Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag im Sicherheitsforum

Logfile( mbr.log )
tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !

malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

http://www2.gmer.net/mbr

Suchbegriff eingeben

Benutzerdefinierte Suche

Masterbootrecord neu erstellen

Link: weiter...

Konsole installieren

Combofix - Erstellen der Windows Recovery Console

Link: weiter...
oder
1. XP-CD einlegen

2. Auf Start->Ausführen klicken

3. X:\i386\winnt32.exe /cmdcons

eingeben, X= der Laufwerksbuchstabe für das CD-Rom

4. Installation mit JA bestätigen

5. Neustart. Ab sofort hat man im Startmenü der Eintrag "Microsoft Windows- Wiederherstellungskonsole" Link: weiter...

BEISPIEL Verseuchung MBR

sdfix - weiter...

Could Not Remove C:\WINDOWS\Temp\bca4e2da.$$$
Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$

sdfix nach Anwendung von : mbr.exe -f

Trojan Files Found:
C:\WINDOWS\Temp\bca4e2da.$$$ - Deleted
C:\WINDOWS\Temp\ed47fa.$ - Deleted
C:\WINDOWS\Temp\fa56d7ec.$$$ - Deleted

OtmoveIt weiter...

[kill explorer]
EmptyTemp
purity
[start explorer]

Beispiel:

Explorer killed successfully
EmptyTemp

File delete failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be deleted on reboot.

Temp folders emptied.
IE temp folders emptied.
purity
Explorer started successfully