Habe ich einen MBR Rootkit ?? |
||
---|---|---|
#0
| ||
09.02.2010, 16:43
...neu hier
Beiträge: 4 |
||
|
||
09.02.2010, 16:47
Moderator
Beiträge: 5694 |
#2
Hallo NiclausII und Willkommen auf Protecus.de
Wie kommt das denn? Schritt 1 Bei Dir scheint sich etwas im Master Boot Record festgesetzt zu haben, wie das obige Ergebnis zeigt. Du hast jetzt zwei Möglichkeiten, den Master Boot Record (MBR) wieder in Ordnung zu bringen, die erste zeigt Dir auf, wie Du das mit Windows eigenen Mitteln machen kannst, die zweite, wie es mit dem Tool mbr.exe zu machen ist. MBR wiederherstellen Entweder so: • Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu. • Bootet der Computer nicht von CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird. • Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort. • Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole. • Nun gebe folgenden Befehl ein: • fixmbr oder so: • Kopiere die Datei mbr.exe nach C:\Windows\system32 • Start => ausführen => cmd (da reinschreiben) => OK • es öffnet sich ein Dosfenster • bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken) • und ggfs. den Anweisungen folgen. Schritt 2 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen >Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output >Unter Extra Registry, wähle bitte Use SafeList >Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt >Poste die Logfiles in Code-Tags hier in den Thread. Schritt 3 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. |
|
|
||
11.02.2010, 14:48
...neu hier
Themenstarter Beiträge: 4 |
#3
Hi,
vielen Dank erst mal. Konnte jetzt erst antworten, Kann Gmer nicht starten, PC verabschiedet sich mit Bluescreen Fehler 0x00000019 BAD_POOL_HEADER hier meine Scans von OTIL: Code
und hier der andere Text: Code
Ist das soweit IO? Ich werde gmer mal im absicherten Modus mal laufen lassen, hat das Zweck? Beste Grüße NicolausII |
|
|
||
11.02.2010, 17:34
Moderator
Beiträge: 5694 |
#4
Schritt 1
Filesharing Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen. Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich lieber Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren Zitat BitTorrentSchritt 2 C:\Programme\Bonjour\mDNSResponder.exe Bei Dir läuft Bonjour, welches von Apple ungefragt z. B. bei iTunes oder Safari-Browser mitinstalliert wird. Das Programm wird von vielen Usern gar nicht gebraucht. Ich habe bei Wikipedia ausführliche Informationen zu dem Programm Bonjour gefunden und beschreibe Dir im Anschluss, wie man das Programm wieder deinstallieren kann, falls das über den normalen Weg Systemsteuerung - Software nicht möglich ist. Solltest Du es nicht brauchen, bitte zunächst versuchen, es über Systemsteuerung => Software zu deinstallieren. Sollte das nicht möglich sein, fahre wie folgt fort: • Start => ausführen => dort reinschreiben: services.msc => OK => es öffnet sich das "Dienste"-Fenster. "Bonjour Dienst" in der Liste auswählen und "Beenden" ausführen. • Kommandozeile öffnen: Start => ausführen => cmd reinschreiben und ins Verzeichnis "<Systemvolume>\Programme\Bonjour" wechseln, z. B. mit dem Kommando: cd "C:\Programme\Bonjour" • Folgendes Kommando eingeben: mDNSResponder -remove • Danach kannst Du den Ordner C:\Programme\Bonjour löschen. Wenn das so nicht klappt, gehe auf diese Seite, lade Dir lspfix.zip runter und entpacke das Archiv auf Deinen Desktop. Wenn Du kein Zip-Programm hast, kannst Du auch LSPFix.exe und spfix.txt runterladen. Starte LSPFix.exe, schiebe mit dem >>-Button die mdnsnsp.dll nach rechts, da sie muss raus, hake "I know what i'm doing" an und klicke auf "Finish". Rechner neu starten. Der Ordner C:\Programme\Bonjour\ sollte sich nun löschen lassen. Schritt 3 Java aktualisieren Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu. Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6 Update 18) von SUN. Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den Button "Continue" klicken. Dort die jre-6u18-windows-i586.exe downloaden und anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren. Schritt 4 Malwarebytes Anti-Malware Lade MBAM herunter, installiere es und wähle bei Reiter: -> “Update“> “Suche nach Aktualisierungen“ -> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“ -> “Scanner”> "Quickscan durchfuehren". Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu Schritt 5 Versuche nun GMER noch einmal |
|
|
||
12.02.2010, 10:30
...neu hier
Themenstarter Beiträge: 4 |
#5
Hi Swiss,
vielen Dank für Deine schnelle Antwort. Das Bittorent ist nur ein Überbleibsel von vor zwei Jahren. Hatte nicht mehr gewusst, das es noch suf dem PC ist. Habe ich mindestens 1 Jahr nicht benutzt. Ist sofort deinstalliert worden. Auch Bonjour gibt es nicht mehr. Die Gefahren sind doch zu hoch. Malwarebyte habe ich laufen lassen, keine Funde. Ich habe auch das neueste eScan (MWAV) laufen lassen, ebenfalls nichts verdächtiges. Das hatte ich mir mal vor einem Jahr gekauft. Gmer stürzt aber immer noch mit Stopfehler ab. Habe mindestens 4 weitere Rootkitsucher wie Sar_1.5fx, Blacklight, Helios und AVG suchen lassen, keine Funde, ja, wenn da nicht im Sektor 62 nicht eine Kopie vom MBR wäre.... Da ich ein Trialbootsystem habe, habe ich bei meinem zweiten XP - verwende ich nur zur Videobearbeitung, startet über Bootini aud LW "C "und läuft dann auf "D" - Gmer laufen lassen. Da geht es und dort wird nichts gefunden, bis auf die MBR Copy auf Sektor 62. Als drittes System habe ich Win7 64( auf LW "F") . Dort habe ich auch Gmer laufen lassen, nach ein paar weggedrückten Fehlermeldungen ( ist wohl noch nicht Win7 tauglich, wie ich lesen konnte?) läuft es dann durch, da wird garnichts gemeldet. Das startet auch über den MBR. Da ich Gmer nach dem letzten Patchday laufen lassen wollte, denke ich, es kann an dem KB977165 liegen. Im Internet lese ich, dass manche Rechner sich beim Booten schon mit Bluescrenn verabschieden, das Patch sei fehlerhaft. Ich werde mal den Patch deinstallieren und Gmer nochmal laufen lassen. Was sagst Du, ist noch mit einem Rootkit zu rechnen und wie kann man den Sektor 62 löschen oder kann man das lassen ? Viele Grüße NicolausII |
|
|
||
12.02.2010, 15:12
Moderator
Beiträge: 5694 |
#6
Nein das kann man so lassen. Wie du selber sagts, es ist nur eine Kopie. Evtl war da mal was drauf. Wollte einfach sicher gehen, dass wirklich nichts ist. Ja versuch ob DU GMEr nochmal zum laufen bringrs. Vorher aber mache noch folgendes:
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen. • Doppelklick auf OTL.exe um das Programm auszuführen. Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten. • Klicke auf den Button "CleanUp!" • OTM fragt eventuell nach einem Neustart. Sollte es dies tun, so lasse dies bitte zu. Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell. |
|
|
||
12.02.2010, 15:23
...neu hier
Themenstarter Beiträge: 4 |
#7
Hi Swiss,
Danke, werde ich so machen. Bin jetzt etwas beruhigter. Werde Deine Hinweise beachten. Vielen Dank nochmal an Dich und das ganze Forum. Es ist gut zu wissen, das es Euch gibt. Also, nochmals Dank für Deine Mühe Beste Grüße NicolausII |
|
|
||
12.02.2010, 15:26
Moderator
Beiträge: 5694 |
#8
Du kannst zur Sicherheit auch noch Onlinescans machen
|
|
|
||
habe mit Gmer gescannt und die Aussage erhalten "Rootkit in MBR"
Habe dann mit mbr.exe -f gescannt und folgendes erhalten:
Zitat
Was soll ich davon halten, eigentlich kein Rootkit,aber was soll die Copy in Sector 62
Muss ich was tun?
Best reards
NicolausII