rootkit in master boot record

#0
10.08.2008, 20:51
Member

Themenstarter

Beiträge: 11
#16 Hallo Sabine

Hab die Fix.bat auch unter C:\ abgespeichert.

Beim AVZ Programm habe ich nach wie vor Zahlen anstelle von Wörtern. Bin mir wirklich nicht sicher, ob ich hier alles korrekt ausgeführt habe.

Hier nochmals das mbr Log:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x950e4c1 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Zitat

Wie kann man sich gegen solche Rootkit schützen?

Danke und Gruss Stefan
Seitenanfang Seitenende
10.08.2008, 21:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#17 In die Anleitung auf http://virus-protect.org/artikel/tools/mbr.html steht doch deutlich "Desktop"für MBR.exe also muss "fix.bat "auch dahin
Nachdem "fix.bat "ausgeführt worden ist Rechner neustarten und MBR.exe nochmal ausführen und das log posten
__________
MfG Argus
Seitenanfang Seitenende
18.08.2008, 20:52
Member

Themenstarter

Beiträge: 11
#18 Hallo zusammen

hier das log nachdem ich nun alles korrekt abgespeichert habe.

Zitat

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x950e4c1 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Danke und Gruss Stefan
Seitenanfang Seitenende
18.08.2008, 22:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 ««
ja, es klappt einfach nicht, der Rootkit sitzt weiterhin fest ;)

sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.08.2008, 21:19
Member

Themenstarter

Beiträge: 11
#20 Hallo, kann leider immer noch nicht den pc im abgesicherten Modus starten...

gruss stefan
Seitenanfang Seitenende
19.08.2008, 23:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2008, 20:39
Member

Themenstarter

Beiträge: 11
#22 Hallo, nö, geht leider nicht...

gruss stefan
Seitenanfang Seitenende
20.08.2008, 23:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 dann wird dir wohl nichts anderes übrig bleiben ... und alles platt machen ... formatieren ;)

vielleicht holt Antivirus es raus:
http://virus-protect.org/antivirus.html

Zitat

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
-------------


oder mittels Konsole:
To remove rootkit from infected machine you can simply use "Recovery Console" command: fixmbr.

1.
Combofix - Erstellen der Windows Recovery Console
http://virus-protect.org/artikel/tools/combofix-konsole.html

2.
http://virus-protect.org/artikel/tools/masterbootrecord.html
Besteht der Verdacht, dass ein solches Rootkit installiert ist, sollten betroffene Anwender ihre Rechner mit einer Boot-CD hochfahren, um den Master Boot Record zu umgehen. Um die schädliche Veränderung rückgängig zu machen, sollte der MBR anschließend mit dem systeminternen Tool - für (WinXP)
fixmbr
innerhalb der Windows-Recovery-Konsole zurückgesetzt werden.

-------------------------

mit der XP-CD starten. Da wählt man "Reparieren". ( Mit "Reparieren" wird die Wiederherstellungskonsole aufgerufen.)
Wenn man bei "C:\" - ist gibt man

fixmbr

ein. Damit wird der Master-Boot-Record neu geschrieben.

---------------------
wenn du es hinbekommen hast, poste ein neues Log von mbr und von sdfix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2008, 22:37
Member

Themenstarter

Beiträge: 11
#24 hallo

würdes du an meiner stelle den pc wirklich formatieren? empfinde dies als eine aufwändige sache. was sind die negativen folgen vom rootkit die mir passieren könnten. zur zeit merke ich ja 'nichts'.

danke und gruss stefan
Seitenanfang Seitenende
21.08.2008, 22:40
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#25 Poste mal ein Log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende