user != kernel MBR !!! , mbr.exe mbrCheck.exe

#0
19.01.2012, 22:26
...neu hier

Beiträge: 4
#1 Hallo,
ich bin neu hier, habe das Forum durch mein Thema gefunden.
Bei der Überprüfung´mit mbr -f erhielt ich folgendes (der Scanner Avast war dabei aus)

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST380013AS rev.3.43 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-22

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!

Daraufhin habe ich hier mbrcheck.exe geladen und im Desktop laufen lassen (dabei war der Scanner AVAST an)
Den output hänge ich an, ist nun was oder nicht ?

Hat die zweite Platte eigentlich einen MBR ?, darauf sind nur Daten und kein Betriebssystem, ich wüsste nicht, dass ich die vor 7 Jahren bootfähig gemacht habe.

Vielen Dank für Eure Hilfe
Balu

Seitenanfang Seitenende
19.01.2012, 22:57
Member
Avatar Xeper

Beiträge: 5291
#2

Zitat

Hat die zweite Platte eigentlich einen MBR ?, darauf sind nur Daten und kein Betriebssystem, ich wüsste nicht, dass ich die vor 7 Jahren bootfähig gemacht habe.
MBR ist ein Teilbereich des msdos disk layouts, von daher hat auch deine 2. Festplatte einen solchen.
Das bedeutet aber nicht das diese bootfähig ist...

0xB91D0000 \??\C:\DOKUME~1\Balu\LOKALE~1\Temp\mbr.sys
Das sollte wohl nicht da sein....
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
20.01.2012, 07:40
...neu hier

Themenstarter

Beiträge: 4
#3 Danke für die schnelle Antwort.

Was bedeute das, ist der Rechner befallen ?
Wie kann ich das mbr.sys beseitigen ? ich sehe es nicht mal auf der Platte
Und was mache ich mit der 2 Platte ?
Seitenanfang Seitenende
20.01.2012, 11:24
Member

Beiträge: 420
#4 Hi

Die mbr.sys gehört zum Gmer.
Erstelle bitte ein aussagekräftigeres Log mit aswmbr:

Lade aswmbr von avast! herunter
http://public.avast.com/~gmerek/aswMBR.exe
Starte das Programm
wähle "Ja" bei der Frage nach avast-Engine.
Klicke auf Scan
Klicke nach dem Scan auf Save Log, speichere es ab und poste es hier (nichts "Fixen")
Seitenanfang Seitenende
20.01.2012, 11:49
Member
Avatar Xeper

Beiträge: 5291
#5 @gangren
Warum ist das log nicht aussagekräftig genug?
Weil es nicht den MBR der 2. Festplatte analysiert?

Zitat

Die mbr.sys gehört zum Gmer.
Warum nennt es sich so?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
20.01.2012, 12:07
Member

Beiträge: 420
#6

Zitat

Warum ist das log nicht aussagekräftig genug?
Weil es nicht den MBR der 2. Festplatte analysiert?
Nun, ist natürlich alles eher subjektiv, aber aus meiner Sicht macht es zwei entscheidende Dinge, die ich bei anderen Scans in der Form vermisse bzw. nicht herauslesen kann:

1. Übersicht über alle Partitionen. Die neueste Malware verändert gar nicht mehr das MBR, sondern legt gleich eine eigene versteckte Partition an und markiert sie als aktiv. "Nur-MBR-Scanner" laufen dabei mehr oder weniger ins Leere.

2. Übersicht über die aus dem MBR geladenen Module. Habe ich in der Form auch noch nirgendwo gesehen. Ganz nützlich bei "Nicht-Standard-MBR" (Recovery-Partitionen u. a.). Wird ein Modul außerhalb des Kernelspeicherbereichs geladen (markiert als >>UNKNOWN<< oder so ähnlich) ist MBR entweder verseucht oder es ist auf die Emulationsoftware (Daemon) zurückzuführen. Passiert bei einer Recoverypartition in der Regel nicht, obwohl das MBR an sich schon mal als unbekannt markiert sein kann.

Zitat

Warum nennt es sich so?
Keine Ahnung, hat der Entwickler so genannt ;) Die sieht man übrigens auch nach Einsatz von Combofix, weil es dort als Unterprogramm verwendet wird.
Seitenanfang Seitenende
20.01.2012, 12:12
Member
Avatar Xeper

Beiträge: 5291
#7

Zitat

1. Übersicht über alle Partitionen. Die neueste Malware verändert gar nicht mehr das MBR, sondern legt gleich eine eigene versteckte Partition an und markiert sie als aktiv. "Nur-MBR-Scanner" laufen dabei mehr oder weniger ins Leere.
Naja ist ja kein Platz mehr in der PT, heißt die Einträge müßten sich sowieso überlappen...
Vermutlich funktioniert das dann aber nur beim NTLDR, der GLDR würde sich sicherlich sofort daran stören - der stört sich doch an alles und sobald die image Einträge von \Boot nicht mehr zusammen passen, bootet WinVista/Win7 nicht mehr.

Zitat

Keine Ahnung, hat der Entwickler so genannt
Hmm okay sorry, hab gmer auch schon öfters in Aktion gesehen aber ist mir eigentlich so noch nie aufgefallen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
20.01.2012, 12:41
...neu hier

Themenstarter

Beiträge: 4
#8 Hallo gangren,
lege den LOG vom AVAST Scanner bei.
Jetzt ist auch klar warum mbr.sys verschwunden ist, danke für den Hinweis.
Ich finde eigentlich nur den Hinweis von Gmer User != Kernel mbr.
Avast, Malewarebytes, Catchme finden nichts, eben nur der MBR der 2 Platte. Ich bin per Zufall darauf gekommen, nach einem Scanner Wechsel nach AVAST und genauster Prüfung fiel vom PE Builder (Tool zur Erstellung einer bootfähige WindowsCD) eine Datei ProdutKey.exe auf. Die ist schon steinalt auf der Kiste. Aber gut, könnte ja was neues eingenistetes sein, so habe ich eben mit Gmer gesucht. Und jetzt weiss ich nicht ob da was ist.
Balu

Anhang: aswMBR.txt
Seitenanfang Seitenende
20.01.2012, 14:07
Member

Beiträge: 420
#9 Interessant. Erstens mal: ich denke nicht, dass es sich um Malware handelt. Das MBR der zweiten Platte ist legitim, wenn auch als "unbekannt" markiert (kann man über den Hash-Wert herausfinden). Auch zeigen sich keine üblichen Anzeichens eines Rootkits im aswmbr Log. Bleibt noch

Zitat

user != kernel MBR !!!
Ich bin mir nicht ganz sicher, woran das liegt, da müsste ich noch etwas recherchieren, das dauert. Aber wie gesagt, ich bin der Meinung, da ist nichts.
Seitenanfang Seitenende
20.01.2012, 14:10
Member
Avatar Xeper

Beiträge: 5291
#10

Zitat

Ich bin mir nicht ganz sicher, woran das liegt, da müsste ich noch etwas recherchieren, das dauert. Aber wie gesagt, ich bin der Meinung, da ist nichts.
Ebenfalls, darüber hinaus ist es mir eben sowieso schon so vorgekommen das der TE einfach nur auf verdacht gescannt hat.

Zitat

Das MBR der zweiten Platte ist legitim, wenn auch als "unbekannt" markiert (kann man über den Hash-Wert herausfinden).
Vielleicht ist da auch einfach gar nichts bestimmtes.... selbst wenn würde ja eh nicht von der 2. HDD gebootet werden.

Zitat

user != kernel MBR !!!
Wüßte ich auch gern mal was das bedeutet, so etwas wie das im kernel space ein anderer MBR entdeckt wird als im userspace?
Aber naja ist ganz schön vage diese Meldung.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
20.01.2012, 15:19
...neu hier

Themenstarter

Beiträge: 4
#11 Hallo,
ich selbst denke auch, da ist nichts. Aber was bedeuitet diese Meldung ???

Zur zweiten Platte mir ist noch eingefallen, dass ich mal mit Linux gespielt habe, weiss aber nicht mehr ob ich einen Bootloader hatte und auch nicht was ich mit der zweiten Platte gemacht hatte. Ist nur so eine Idee, nicht das da was zurück geblieben ist, war vor 6 - 7 Jahren.

Wäre schön wenn sich die Meldung user != kernel MBR !!!
noch klären würde.
Seitenanfang Seitenende
20.01.2012, 15:22
Member
Avatar Xeper

Beiträge: 5291
#12

Zitat

Zur zweiten Platte mir ist noch eingefallen, dass ich mal mit Linux gespielt habe, weiss aber nicht mehr ob ich einen Bootloader hatte und auch nicht was ich mit der zweiten Platte gemacht hatte.
Jo plausibel, dann ist von da wohl der bootcode zurück geblieben.
Ist aber auch nicht so wichtig in dem Fall.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
22.01.2012, 14:52
Member

Beiträge: 420
#13 Habe leider nicht viel finden können. Das Einzige, was mir noch dazu einfällt, ist den avast mal runterzuschmeißen (das AV-Programm, nicht aswmbr) und evtl. auch andere Sicherheitsprogramme, die versuchen, den MBR zu schützen, und nochmal nachsehen. Ansonsten läuft dies Meldung wohl unter der Rubrik "Ist so".
Seitenanfang Seitenende
22.01.2012, 14:56
Member
Avatar Xeper

Beiträge: 5291
#14 @gangren

Frag doch einfach den Entwickler.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: