rootkit in master boot record |
||
---|---|---|
#0
| ||
27.07.2008, 23:29
Member
Beiträge: 11 |
||
|
||
28.07.2008, 00:27
Ehrenmitglied
Beiträge: 6028 |
#2
Scanne nochmal mit Malwarebytes Antimalware und:
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Java Dein Java software ist veraltet, Download Java Runtime Environment (JRE) 6u7 zum Desktop Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software Die aeltere Versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Schliesse alle Programme auch dein Webbrowser Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p-s.exe __________ MfG Argus |
|
|
||
29.07.2008, 06:26
Member
Themenstarter Beiträge: 11 |
#3
Danke für die schnelle Antwort.
Malwarebytes hat nichts mehr gefunden. Aufgrund des Reports von Compofix und Hijackthis muss ich also nichts mehr manuell löschen? Gruss Stefan |
|
|
||
29.07.2008, 10:56
Ehrenmitglied
Beiträge: 6028 |
#4
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Benutze mal http://www.filehippo.com/updatechecker/ vielleicht gibt es noch was um dein Rechner up-to-date zu halten __________ MfG Argus |
|
|
||
29.07.2008, 10:57
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo, Correct
1. http://virus-protect.org/artikel/tools/otmoveIt.html Download OTMoveIt zum Desktop OTMoveIt öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat [kill explorer]Klicke auf den Roten MoveIt! wenn gefragt wird, ob neu gebootet werden soll, bestätige mit Yes. gehe dann in c:\_OTMoveIt\MovedFiles und poste den Inhalt vom Log - Datum, Zeit usw. (mmddyyyy_hhmmss.log) 2. wende mbr an + poste den report http://virus-protect.org/artikel/tools/mbr.html ------------------ ist für mich Zitat Verzeichnis von C:\WINDOWS\temp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.07.2008, 21:01
Member
Themenstarter Beiträge: 11 |
#6
Hallo Sabine
OTMoveIT Explorer killed successfully < EmptyTemp > File delete failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be deleted on reboot. File delete failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be deleted on reboot. Temp folders emptied. IE temp folders emptied. < purity > Explorer started successfully OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07302008_205140 Files moved on Reboot... File move failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be moved on reboot. File move failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be moved on reboot. mbr: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit code detected ! malicious code @ sector 0x950e4c1 size 0x2c3 ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. Besten Dank und Gruss Stefan [/img] |
|
|
||
30.07.2008, 21:44
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo, Correct
du hast da was ganz "gemeines auf dem Rechner" .... rootkit in master boot record mache folgendes: Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat mbr.exe –fDoppelklick auf fix.bat Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag ----------------------------------------------------- sdfix http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2008, 00:37
Member
Themenstarter Beiträge: 11 |
#8
Hallo Sabine
Hier das Log. Zitat Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netIch kam nicht in den abgesicherten Modus. Hab den Computer neu gestartet und F8 gedrückt. Hat sich nichts getan. Gibt es da noch etwas, was mir weiterhelfen könnte? Ein anderer Weg? Was zusätzliches zum beachten? Danke und Gruss Stefan |
|
|
||
02.08.2008, 11:43
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo,Correct
1. http://virus-protect.org/artikel/tools/mbr.html Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. mbr.exe –f Doppelklick auf fix.bat Es wird ein Log erstellt und poste dessen Inhalt in deinen Beitrag (mehr oder weniger so malicious code @ sector 0xe4f8121 size 0x2c3 ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. original MBR restored successfully ! ------------------------- 2. Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren. http://www.virus-protect.org/zip/SafeBoot.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2008, 13:28
Member
Themenstarter Beiträge: 11 |
#10
Hallo Sabine
Hier das Log: Zitat Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netIch komme immer noch nicht in den abgesicherten Modus hinein. Hast du sonst noch eine Idee? Danke und Gruss Stefan |
|
|
||
02.08.2008, 14:24
Ehrenmitglied
Beiträge: 6028 |
#11
Rechner neu starten
Benutze CrapCleaner http://www.ccleaner.de/?protecus.de Starte mbr.exe nochmal und poste den Inhalt von mbr.log in diesen Thread __________ MfG Argus |
|
|
||
02.08.2008, 14:45
Ehrenmitglied
Beiträge: 29434 |
#12
bis jetzt haben wir den Rootkit im MBR noch nicht rausbekommen
Mache also bitte, was Arnold geschrieben hat für den abgesicherten Modus: AVZ laden, gleich mal durchscannen + den report posten. http://virus-protect.org/artikel/tools/avz.html dann: Restore System Settings klicke: File - System Recovery - Safe Boot-Key wieder herstellen (im Fall, dass man nicht mehr in den abgesicherten Modus kommt) - (Restore SafeBoot registry keys) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2008, 15:57
Member
Themenstarter Beiträge: 11 |
#13
Hallo Zusammen
Hier das mbr.log, nachdem ich den CCleaner laufen liess: Zitat Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netBeim AVZ Programm hatte ich nur Zahlen. So auch der Report. Und nun? Danke und Gruss Stefan |
|
|
||
02.08.2008, 16:48
Ehrenmitglied
Beiträge: 29434 |
#14
nix zu machen... du musst platt machen, alles weg - formatieren
wenn nicht mal das gmer-Tool den Rootkit aus mbr rausbekommt, dann kenne ich kein anderes Tool. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2008, 21:58
Ehrenmitglied
Beiträge: 29434 |
#15
ich hab mich noch mal schlau gemacht (Danke, Arnold)
Wenn MBR.exe auf C:\ steht und Fix.bat auf den Desktop dann gehts nicht .. du musst also die fix.bat auf der gleichen Ebene abspeichern, wo sich mbr.exe befindet. versuche es so, vielleicht retten wir das system noch __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Habe vor einigen Wochen eine so genannte Nörgel-Software eingefangen. Namentlich von SysKontroller und Virusschlacht.
Auf der Suche im Internet bin ich auf dieses Forum gestossen. Habe nun die zu tätigen Punkte ausgeführt.
Im Anhang findet ihr die verlangten Reports.
Kann mir jemand weiterhelfen?
Besten Danke und Gruss Stefan