|
in master boot record Social Bookmark Button |
Rootkit im Master Boot Record (MBR)
Panda Security meldet neue Trojaner-Exemplare, die aufgrund integrierter Rootkits
in der Lage sind, den Master Boot Record (MBR) von infizierten Computern auszutauschen.
http://www2.gmer.net/mbr/mbr.exe
mbr.exe Download mbr.exe zum Desktop Doppelklick mbr.exe um das Tool zu starten Es wird ein Log erstellt und poste dessen Inhalt in deinen Beitrag im Sicherheitsforum
Zuerst müssen (proactieve defense) aktieve scanner de-aktiviert werden
Wenn Guards benutzt werden, auch de-aktivieren (Teatimer) Man muss die mbr.exe direkt in den Root auf C:\ downloaden 
Dann via Start - Ausführen >> schreibe rein: cmd reinkopieren : C:\mbr.exe -f auf c:\ wir dann ein mbr.log abgelegt 
oder:
Start --> Ausführen cmd und dort auf c:\ wechseln mit cd c:\ Enter klicken und mbr.exe -f eingeben 
Wenn mbr nicht Infiziert ist:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user kernel MBR OK
Wenn aber Infiziert
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user kernel MBR OK MBR rootkit code detected ! malicious code @ sector 0xe4f8121 size 0x2c3 ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix
Lösung
mbr.exe auf C:\ laden (oder aufs Desktop laden und dann auf C:\ verschieben) Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\ Gebe bei Dateityp 'Alle Dateien' an. mbr.exe -f Du solltest jetzt in C:\ diese Datei fix.bat finden. Doppelklick auf fix.bat Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag im Sicherheitsforum Logfile( mbr.log ) tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user kernel MBR OK MBR rootkit code detected ! malicious code @ sector 0xe4f8121 size 0x2c3 ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. original MBR restored successfully ! http://www2.gmer.net/mbr |
Suchbegriff eingeben:
Benutzerdefinierte Suche
Masterbootrecord neu erstellen
Link: masterbootrecord
Wiederherstellungskonsole installieren:
Combofix - Erstellen der Windows Recovery Console combofix-konsole oder:
1. XP-CD einlegen 2. Auf Start->Ausführen klicken 3. X:\i386\winnt32.exe /cmdcons - eingeben, X= der Laufwerksbuchstabe für das CD-Rom 4. Installation mit JA bestätigen 5. Neustart. Ab sofort hat man im Startmenü der Eintrag "Microsoft Windows- Wiederherstellungskonsole" Link: microsoftmanagementconsole
BEISPIEL - Verseuchung MBR:
sdfix - Sdfix Could Not Remove C:\WINDOWS\Temp\bca4e2da.$$$ Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$ sdfix nach: mbr.exe -f - Sdfix Trojan Files Found: C:\WINDOWS\Temp\bca4e2da.$$$ - Deleted C:\WINDOWS\Temp\ed47fa.$ - Deleted C:\WINDOWS\Temp\fa56d7ec.$$$ - Deleted
otmoveIt
Explorer killed successfully EmptyTemp File delete failed. C:\WINDOWS\temp\bca4e2da.$$$ scheduled to be deleted on reboot. File delete failed. C:\WINDOWS\temp\fa56d7ec.$$$ scheduled to be deleted on reboot. Temp folders emptied. IE temp folders emptied. purity Explorer started successfully |
