rootkit in master boot record

#1 Hallo Zusammen

Habe vor einigen Wochen eine so genannte Nörgel-Software eingefangen. Namentlich von SysKontroller und Virusschlacht.

Auf der Suche im Internet bin ich auf dieses Forum gestossen. Habe nun die zu tätigen Punkte ausgeführt.
Im Anhang findet ihr die verlangten Reports.

Kann mir jemand weiterhelfen?

Besten Danke und Gruss Stefan

#2 Scanne nochmal mit Malwarebytes Antimalware und:
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u7 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p-s.exe
__________
MfG Argus

#3 Danke für die schnelle Antwort.

Malwarebytes hat nichts mehr gefunden.

Aufgrund des Reports von Compofix und Hijackthis muss ich also nichts mehr manuell löschen?

Gruss Stefan

#4 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK
Benutze mal http://www.filehippo.com/updatechecker/ vielleicht gibt es noch was um dein Rechner up-to-date zu halten
__________
MfG Argus

#5 Hallo, Correct

1.
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

[kill explorer]
EmptyTemp
purity
[start explorer]

Klicke auf den Roten MoveIt!

wenn gefragt wird, ob neu gebootet werden soll, bestätige mit Yes.

gehe dann in c:\_OTMoveIt\MovedFiles
und poste den Inhalt vom Log - Datum, Zeit usw. (mmddyyyy_hhmmss.log)

2.
wende mbr an + poste den report
http://virus-protect.org/artikel/tools/mbr.html


------------------

ist für mich

Zitat

Verzeichnis von C:\WINDOWS\temp

16.07.2008 20:29 45'581 bca4e2da.$$$
26.05.2008 22:29 1'741'990 fa56d7ec.$$$

Sinowal.VPB creates the following files in the folder Temp of the Windows directory:

* two copies of itself with random names and different sizes.
* BCA4E2DA.$$$, which contains the text strings belonging to the banking entities to be monitored.
* FA56D7EC.$$$, which is used to store the stolen data.

__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo Sabine

OTMoveIT
Explorer killed successfully
< EmptyTemp >
File delete failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
< purity >
Explorer started successfully

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07302008_205140

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be moved on reboot.

mbr:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x950e4c1 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Besten Dank und Gruss

Stefan
[/img]

#7 Hallo, Correct

du hast da was ganz "gemeines auf dem Rechner" .... rootkit in master boot record

mache folgendes:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

mbr.exe –f

Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag

-----------------------------------------------------

sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hallo Sabine

Hier das Log.

Zitat

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x950e4c1 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Ich kam nicht in den abgesicherten Modus. Hab den Computer neu gestartet und F8 gedrückt. Hat sich nichts getan. Gibt es da noch etwas, was mir weiterhelfen könnte? Ein anderer Weg? Was zusätzliches zum beachten?

Danke und Gruss

Stefan

#9 Hallo,Correct

1.
http://virus-protect.org/artikel/tools/mbr.html
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

mbr.exe –f

Doppelklick auf fix.bat
Es wird ein Log erstellt und poste dessen Inhalt in deinen Beitrag

(mehr oder weniger so

malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

-------------------------

2.
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo Sabine

Hier das Log:

Zitat

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x950e4c1 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Ich komme immer noch nicht in den abgesicherten Modus hinein. Hast du sonst noch eine Idee?

Danke und Gruss Stefan

#11 Rechner neu starten

Benutze CrapCleaner
http://www.ccleaner.de/?protecus.de

Starte mbr.exe nochmal und poste den Inhalt von mbr.log in diesen Thread
__________
MfG Argus

#12 bis jetzt haben wir den Rootkit im MBR noch nicht rausbekommen
Mache also bitte, was Arnold geschrieben hat

für den abgesicherten Modus:
AVZ laden, gleich mal durchscannen + den report posten.
http://virus-protect.org/artikel/tools/avz.html

dann:
Restore System Settings
klicke: File - System Recovery

- Safe Boot-Key wieder herstellen (im Fall, dass man nicht mehr in den abgesicherten Modus kommt) - (Restore SafeBoot registry keys)


__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Zusammen

Hier das mbr.log, nachdem ich den CCleaner laufen liess:

Zitat

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x950e4c1 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Beim AVZ Programm hatte ich nur Zahlen. So auch der Report.
Und nun?

Danke und Gruss Stefan

#14 nix zu machen... du musst platt machen, alles weg - formatieren
wenn nicht mal das gmer-Tool den Rootkit aus mbr rausbekommt, dann kenne ich kein anderes Tool.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 ich hab mich noch mal schlau gemacht (Danke, Arnold)
Wenn MBR.exe auf C:\ steht und Fix.bat auf den Desktop dann gehts nicht ..
du musst also die fix.bat auf der gleichen Ebene abspeichern, wo sich mbr.exe befindet.

versuche es so, vielleicht retten wir das system noch
__________
MfG Sabina

rund um die PC-Sicherheit