Rootkit im Master Boot Record (MBR)

• Panda Security meldet neue Trojaner-Exemplare, die aufgrund integrierter Rootkits in der Lage sind, den Master Boot Record (MBR) von infizierten Computern auszutauschen.



Download mbr.exe - (mbr.exe)

Download mbr.exe zum Desktop
Doppelklick mbr.exe um das Tool zu starten
Es wird ein Log erstellt und
poste dessen Inhalt in deinen Beitrag im Sicherheitsforum


Zuerst müssen (proactive defense) aktive Scanner de-aktiviert werden
Wenn Guards benutzt werden, auch de-aktivieren ( z.b. Teatimer)

Man muss die mbr.exe direkt in den Root auf C:\ downloaden

mbr



Dann via Start - Ausführen >> schreibe rein: cmd
reinkopieren : C:\mbr.exe -f
auf c:\ wir dann ein mbr.log abgelegt

mbr.log

MBR rootkit infection detected oder:

cmd

Start --> Ausführen cmd und dort auf c:\ wechseln mit cd c:\
Enter klicken und

mbr.exe -f

eingeben

mbr.exe -f


MBR rootkit infection detected Wenn mbr nicht Infiziert ist:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK

MBR rootkit infection detected Wenn aber Infiziert:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix

MBR rootkit Lösung

mbr.exe auf C:\ laden (oder aufs Desktop laden und dann auf C:\ verschieben)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\
Gebe bei Dateityp 'Alle Dateien' an.

mbr.exe -f

Du solltest jetzt in C:\ diese Datei fix.bat finden.
Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag im Sicherheitsforum

Logfile( mbr.log )
tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !

malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

MBR rootkit Link: Gmer [MBR] weiter




Suche im Web
Benutzerdefinierte Suche

TuneUp
TuneUp Deutschland

Kaspersky Antivirus
Kaspersky 

Masterbootrecord neu erstellen
MBR rootkit Link: weiter 

Konsole installieren
Combofix - Erstellen der Windows Recovery Console

MBR rootkit Link: weiter
oder
1. XP-CD einlegen

2. Auf Start->Ausführen klicken

3. X:\i386\winnt32.exe /cmdcons

eingeben, X= der Laufwerksbuchstabe für das CD-Rom

4. Installation mit JA bestätigen

5. Neustart. Ab sofort hat man im Startmenü der Eintrag "Microsoft Windows- Wiederherstellungskonsole"
MBR rootkit Link: weiter 

BEISPIEL Verseuchung MBR
MBR rootkit sdfix weiter

Could Not Remove C:\WINDOWS\Temp\bca4e2da.$$$
Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$

sdfix nach Anwendung von :
mbr.exe -f

Trojan Files Found:
C:\WINDOWS\Temp\bca4e2da.$$$ - Deleted
C:\WINDOWS\Temp\ed47fa.$ - Deleted
C:\WINDOWS\Temp\fa56d7ec.$$$ - Deleted

MBR rootkit OtmoveIt weiter

[kill explorer]
EmptyTemp
purity
[start explorer]

MBR rootkit Beispiel:

Explorer killed successfully
EmptyTemp

File delete failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be deleted on reboot.

Temp folders emptied.
IE temp folders emptied.
purity
Explorer started successfully
-Windows Systemsoftware-
Windows Systemsoftware
-Sicherheitssoftware-
Sicherheitssoftware
-Virendiagnostik Tools-
Tools Utilities Virendiagnostik
-Online-Virus-Scanner-
Online-Virus-Scanner
-Desktop Firewall Windows-
Desktop Firewall
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits