Home » Viren, Trojaner & Malware Forum » mbr rootkit problem » Themenansicht

mbr rootkit problem
#0
23.11.2009, 22:05
Swisstreasure
Moderator

Beiträge: 5694
#16 Mach das auch gleich noch:

look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

und hier Punkt 2:
http://virus-protect.org/artikel/tools/cid-uninstaller.html
Seitenanfang Seitenende
23.11.2009, 22:17
lukas_ch
...neu hier

Themenstarter

Beiträge: 10
#17 Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: BC91-9A53

Verzeichnis von C:\Dokumente und Einstellungen\Lukas\Anwendungsdaten

10.04.2007 20:43 2'528 $_hpcst$.hpc
29.06.2008 14:04 <DIR> Adobe
17.12.2006 18:24 712 AdobeDLM.log
06.10.2007 07:16 <DIR> AdobeUM
01.04.2005 21:33 <DIR> Ahead
24.01.2005 21:40 0 dm.ini
30.09.2009 22:35 <DIR> DOWNLO~1 Download Manager
23.03.2009 16:37 <DIR> EasyTax
10.03.2008 23:58 <DIR> EIBASC~1 EIBA sc
21.06.2004 21:25 <DIR> FILEMA~1 FileMaker
16.05.2003 22:05 22'928 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
01.11.2009 22:05 <DIR> gtk-2.0
23.11.2003 15:18 <DIR> HaCon
03.08.2006 16:09 <DIR> Help
21.08.2008 21:00 <DIR> ICACLI~1 ICAClient
17.03.2004 20:29 <DIR> ICQ
19.04.2003 11:54 <DIR> IDENTI~1 Identities
21.10.2008 22:33 <DIR> ifolor
20.04.2003 19:34 <DIR> INTERT~1 InterTrust
20.05.2003 22:23 <DIR> Ipswitch
06.05.2003 14:18 <DIR> JASCSO~1 Jasc Software Inc
07.04.2004 16:50 38'435 KOMMAG~1.ADR Kommagetrennte Werte (DOS).ADR
19.03.2009 13:53 38'455 KOMMAG~2.ADR Kommagetrennte Werte (Windows).ADR
28.02.2005 17:53 <DIR> MACROM~1 Macromedia
17.11.2009 13:20 <DIR> MALWAR~1 Malwarebytes
09.12.2007 15:01 38'439 MICROS~1.ADR Microsoft Excel.ADR
27.12.2007 17:24 <DIR> Mozilla
25.03.2007 18:11 <DIR> PHOTOC~1 Photocolor
19.01.2005 21:44 <DIR> PINNAC~1 Pinnacle Systems
17.09.2006 16:46 <DIR> QXLRIC~1 QXL Ricardo
06.08.2008 21:21 <DIR> Real
01.06.2008 00:09 <DIR> Skype
02.10.2007 20:31 <DIR> SpamPal
09.06.2008 19:21 <DIR> Sun
19.03.2009 13:18 38'459 TABULA~1.ADR Tabulatorgetrennte Werte (Windows).ADR
15.11.2003 00:39 <DIR> TextPad
07.10.2007 16:58 <DIR> VEKA_C~1 VEKA_CH50
01.04.2009 14:45 <DIR> vlc
19.05.2003 22:32 <DIR> VMware
8 Datei(en) 179'956 Bytes
31 Verzeichnis(se), 10'818'809'856 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: BC91-9A53

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

10.12.2005 23:43 <DIR> Acronis
29.06.2008 14:05 <DIR> Adobe
16.11.2009 20:27 <DIR> Avira
25.10.2005 18:54 <DIR> C-CHAN~1 C-CHANNEL
12.05.2003 17:28 <DIR> CYBERL~1 CyberLink
21.10.2007 19:13 <DIR> ELKASH~1 Elka Shared
23.11.2003 15:18 <DIR> HaCon
21.10.2008 22:29 <DIR> ifolor
09.06.2008 23:10 <DIR> Lavasoft
17.11.2009 13:20 <DIR> MALWAR~1 Malwarebytes
18.11.2007 19:19 <DIR> Matrox
18.11.2007 19:19 <DIR> MATROX~1 Matrox Graphics Inc
25.02.2005 17:11 <DIR> NVIEW_~1 nView_Profiles
20.04.2003 17:58 <DIR> PGPCOR~1 PGP Corporation
21.10.2008 21:05 <DIR> PHOTOC~1 Photocolor
30.05.2006 21:58 <DIR> Pinnacle
30.05.2006 21:07 <DIR> PINNAC~1 Pinnacle Studio
27.05.2003 18:14 <DIR> QUICKT~1 QuickTime
17.01.2007 23:54 <DIR> Skype
30.05.2006 21:17 <DIR> SMARTS~1 SmartSound Software Inc
09.06.2008 23:08 <DIR> SPYBOT~1 Spybot - Search & Destroy
16.04.2004 19:25 <DIR> Symantec
08.03.2008 13:09 <DIR> TECHSM~1 TechSmith
23.11.2009 21:39 <DIR> VMware
12.09.2006 19:08 <DIR> WINDOW~1 Windows Genuine Advantage
0 Datei(en) 0 Bytes
25 Verzeichnis(se), 10'818'805'760 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: BC91-9A53

Verzeichnis von C:\WINDOWS\tasks

18.08.2001 13:00 65 desktop.ini
23.11.2009 21:39 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 10'818'805'760 Bytes frei



--------------------------------------------------------
No LOP job-files found
--------------------------------------------------------
Files in Windows Tasks folder

PowerOff.job
--------------------------------------------------------
Export App Data folders
--------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: BC91-9A53

Verzeichnis von C:\Dokumente und Einstellungen\Lukas\Anwendungsdaten

17.11.2009 13:20 <DIR> .
17.11.2009 13:20 <DIR> ..
29.06.2008 14:04 <DIR> Adobe
06.10.2007 07:16 <DIR> AdobeUM
01.04.2005 21:33 <DIR> Ahead
30.09.2009 22:35 <DIR> DOWNLO~1 Download Manager
23.03.2009 16:37 <DIR> EasyTax
10.03.2008 23:58 <DIR> EIBASC~1 EIBA sc
21.06.2004 21:25 <DIR> FILEMA~1 FileMaker
01.11.2009 22:05 <DIR> gtk-2.0
23.11.2003 15:18 <DIR> HaCon
03.08.2006 16:09 <DIR> Help
21.08.2008 21:00 <DIR> ICACLI~1 ICAClient
17.03.2004 20:29 <DIR> ICQ
19.04.2003 11:54 <DIR> IDENTI~1 Identities
21.10.2008 22:33 <DIR> ifolor
20.04.2003 19:34 <DIR> INTERT~1 InterTrust
20.05.2003 22:23 <DIR> Ipswitch
06.05.2003 14:18 <DIR> JASCSO~1 Jasc Software Inc
28.02.2005 17:53 <DIR> MACROM~1 Macromedia
17.11.2009 13:20 <DIR> MALWAR~1 Malwarebytes
09.12.2007 14:42 <DIR> MICROS~1 Microsoft
27.12.2007 17:24 <DIR> Mozilla
25.03.2007 18:11 <DIR> PHOTOC~1 Photocolor
19.01.2005 21:44 <DIR> PINNAC~1 Pinnacle Systems
17.09.2006 16:46 <DIR> QXLRIC~1 QXL Ricardo
06.08.2008 21:21 <DIR> Real
01.06.2008 00:09 <DIR> Skype
02.10.2007 20:31 <DIR> SpamPal
09.06.2008 19:21 <DIR> Sun
15.11.2003 00:39 <DIR> TextPad
07.10.2007 16:58 <DIR> VEKA_C~1 VEKA_CH50
01.04.2009 14:45 <DIR> vlc
19.05.2003 22:32 <DIR> VMware
0 Datei(en) 0 Bytes
34 Verzeichnis(se), 10'818'740'224 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: BC91-9A53

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

17.11.2009 13:20 <DIR> .
17.11.2009 13:20 <DIR> ..
10.12.2005 23:43 <DIR> Acronis
29.06.2008 14:05 <DIR> Adobe
16.11.2009 20:27 <DIR> Avira
25.10.2005 18:54 <DIR> C-CHAN~1 C-CHANNEL
12.05.2003 17:28 <DIR> CYBERL~1 CyberLink
21.10.2007 19:13 <DIR> ELKASH~1 Elka Shared
23.11.2003 15:18 <DIR> HaCon
21.10.2008 22:29 <DIR> ifolor
09.06.2008 23:10 <DIR> Lavasoft
17.11.2009 13:20 <DIR> MALWAR~1 Malwarebytes
18.11.2007 19:19 <DIR> Matrox
18.11.2007 19:19 <DIR> MATROX~1 Matrox Graphics Inc
10.05.2007 00:59 <DIR> MICROS~1 Microsoft
25.02.2005 17:11 <DIR> NVIEW_~1 nView_Profiles
20.04.2003 17:58 <DIR> PGPCOR~1 PGP Corporation
21.10.2008 21:05 <DIR> PHOTOC~1 Photocolor
30.05.2006 21:58 <DIR> Pinnacle
30.05.2006 21:07 <DIR> PINNAC~1 Pinnacle Studio
27.05.2003 18:14 <DIR> QUICKT~1 QuickTime
17.01.2007 23:54 <DIR> Skype
30.05.2006 21:17 <DIR> SMARTS~1 SmartSound Software Inc
09.06.2008 23:08 <DIR> SPYBOT~1 Spybot - Search & Destroy
16.04.2004 19:25 <DIR> Symantec
08.03.2008 13:09 <DIR> TECHSM~1 TechSmith
23.11.2009 21:39 <DIR> VMware
12.09.2006 19:08 <DIR> WINDOW~1 Windows Genuine Advantage
0 Datei(en) 0 Bytes
28 Verzeichnis(se), 10'818'736'128 Bytes frei
--------------------------------------------------------
All User Accounts
--------------------------------------------------------
xxxx
xxxx
xxxx
xxxx
xxxx
--------------------------------------------------------
Seitenanfang Seitenende
24.11.2009, 22:55
Swisstreasure
Moderator

Beiträge: 5694
#18 Nun mache es genau so und poste die Logs:


Erstelle auf dein desktop ein neuen Ordner mit namen MBR
Download mbr.exe in den Ordner MBR
Doppelklick mbr.exe.
Auf dein Desktop steht jetzt mbr.log
Kopiere den Inhalt des Berichts in diesen Thread

Danach:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' im Ordner MBR auf dem Desktop.
Gebe bei Dateityp Alle Dateien an.
Du solltest jetzt im Ordner MBR auf dem Desktop diese Datei finden.

Zitat

mbr.exe -f
Doppelklick fix.bat
Im Ordner MBR steht jetzt mbr.log
Kopiere den Inhalt des Berichts in diesen Thread

Rechner neu starten

Und nochmal MBR laufen und das Log posten lassen

http://www2.gmer.net/mbr/mbr.exe
Seitenanfang Seitenende
25.11.2009, 22:12
lukas_ch
...neu hier

Themenstarter

Beiträge: 10
#19 Log 1:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1749ddc1 size 0x1e4 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x01749DDC1 !


Log 2:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1749ddc1 size 0x1e4 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x01749DDC1 !

Scheint nichts geändert zu haben......

Bist du dir da sicher, dass es wirklich ein Boot-Virus ist und nicht, dass er einfach falsch erkennt?
Seitenanfang Seitenende
25.11.2009, 23:28
Swisstreasure
Moderator

Beiträge: 5694
#20 Ja das denke ich mir eben auch...
Muss mich mal schlau machen ;) Melde mich dann.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12