Hallo
habe seit ein paar Tagen, die Virusmeldung:
Virus: Trojan.Mebroot.B
Pfad: E:\=>Master Boot Record
Virus: Trojan.Mebroot.B
Pfad: D:\=>Master Boot Record

Bitdefender Internet Security 2008 blockiert die Datei.
C: scheint der Virus zum Glück noch nicht befallen zu haben.

Ich benutze WinXP SP2.
Wie krieg ich diesen komischen Virus runter?

Halli hallo Ewok84 und

Wo wurde der Trojaner gefunden? Der genau Dateipfad ist wichtig!

Poste bitte ein HijackThis log.

Ich bekomme vom Bitdefender nur die Info:
Virus: Trojan.Mebroot.B
Pfad: E:\=>Master Boot Record
Virus: Trojan.Mebroot.B
Pfad: D:\=>Master Boot Record

Hier der Log.

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Nutze bitte MBR.exe von gmer.
http://www2.gmer.net/mbr/mbr.exe

Einfach auf den Desktop laden und starten. Danach befindet sich eine mbr.log Datei auf dem Desktop, poste den Inhalt der Datei.


Und poste bitte ein ordentlich editiertes HJT logfile

Sorry für die Links im Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:14:21, on 28.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Creative\Shared Files\CTSched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA AE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKCU\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h++p://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h++p://security.symantec.com/sscv6/S.../bin/cabsa.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 5084 bytes



anbei noch das log vom mbr.exe

Stealth MBR rootkit detector 0.2.4 by Gmer, h++p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x12a18ac1 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Downloade dir bitte die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!


Danach wollen wir mal gucken wer dir da eigentlich im MBR rumfuscht..


GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Checke dein System mit dem ESET Online Scanner. (Klicke nach dem Scan auf "Print this Page" oben rechts in der Ecke und kopiere das nachfolgende Fenster in deinen Post.)

8) Räume mit cCleaner auf. (Punkt 1 und 2)

9) Lasse Silentrunners laufen und poste das logFile

10) Führe einen escan durch und poste das mit Hilfe der find.bat ausgewertete log.

11) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

habe mal bei der mbr.exe -f eingegeben, jetzt meckert der bitdefender nur noch auf D:


mbr.bat

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Dann packe die mbr.exe bitte auf D:\ und die mbr.bat ebenfalls und führe sie aus.

Das dann für alle Partitionen machen bitte.

der GMER log

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-28 23:59:11
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwClose [0xBA78DC58]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwCreateKey [0xBA78DC10]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xBA781C70]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xBA7824FE]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xBA78DD50]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwOpenKey [0xBA78DBD4]
SSDT \??\C:\Programme\BitDefender\BitDefender 2008\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenProcess [0xB2325B4C]
SSDT \??\C:\Programme\BitDefender\BitDefender 2008\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenThread [0xB2325C3A]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryKey [0xBA78251E]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryValueKey [0xBA78DCA6]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xBA78D4F0]
SSDT \??\C:\Programme\BitDefender\BitDefender 2008\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateProcess [0xB2325AB0]

---- Kernel code sections - GMER 1.0.14 ----

? C:\DOKUME~1\Ewok\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8A4920E0

AttachedDevice \Driver\Tcpip \Device\Ip bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender SRL)
AttachedDevice \Driver\Tcpip \Device\Tcp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender SRL)

Device \Driver\Cdrom \Device\CdRom0 89FAA2A0
Device \FileSystem\Rdbss \Device\FsWrap 88F0D1E0
Device \Driver\Cdrom \Device\CdRom1 89FAA2A0
Device \Driver\atapi \Device\Ide\IdePort0 89FAFCF0
Device \Driver\atapi \Device\Ide\IdePort1 89FAFCF0
Device \Driver\atapi \Device\Ide\IdePort2 89FAFCF0
Device \Driver\atapi \Device\Ide\IdePort3 89FAFCF0
Device \Driver\atapi \Device\Ide\IdePort4 89FAFCF0
Device \Driver\atapi \Device\Ide\IdePort5 89FAFCF0
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-1b 89FAFCF0
Device \Driver\atapi \Device\Ide\IdeDeviceP4T0L0-26 89FAFCF0
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-10 89FAFCF0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-5 89FAFCF0
Device \FileSystem\Srv \Device\LanmanServer 8A05C4A0

AttachedDevice \Driver\Tcpip \Device\Udp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender SRL)
AttachedDevice \Driver\Tcpip \Device\RawIp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender SRL)

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 88EA02B0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 88EA02B0
Device \FileSystem\Npfs \Device\NamedPipe 88FA73B0
Device \FileSystem\Msfs \Device\Mailslot 88FA61F8
Device \Driver\Vax347s \Device\Scsi\Vax347s1 89FBF478
Device \Driver\Vax347s \Device\Scsi\Vax347s1Port6Path0Target0Lun0 89FBF478
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 8A2CEA70
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 8A2CEA70
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 8A2CEA70
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 8A2CEA70
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 8A2CEA70
Device \FileSystem\Cdfs \Cdfs 887641A8

---- Modules - GMER 1.0.14 ----

Module _________ BA6E3000-BA6FB000 (98304 bytes)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120%
Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120%

---- EOF - GMER 1.0.14 ----

Soo..
Neue Situation
Ein bekannter meinte, ich soll doch einfach D: formatieren und die Partition neu erstellen.. Gut, das tat ich eben auch.. Doch beim Neustart des Rechners immernoch das gleiche Problem. Der MBR hat immernoch ne Macke..
Das kann doch garnicht sein, oder??
ist im Prinzip ja ne neue Platte.

Zitat:

Dann packe die mbr.exe bitte auf D:\ und die mbr.bat ebenfalls und führe sie aus.

Das dann für alle Partitionen machen bitte.

Hast du das gemacht?

Wenn nicht dann tue es bitte jetzt.

Danach Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

die MBR sachen habe ich auf jedem Laufwerk ausgeführt.
blacklight hat nichts gefunden:

08/31/08 00:58:19 [Info]: BlackLight Engine 1.0.70 initialized
08/31/08 00:58:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/31/08 00:58:20 [Note]: 7019 4
08/31/08 00:58:20 [Note]: 7005 0
08/31/08 00:58:27 [Note]: 7006 0
08/31/08 00:58:27 [Note]: 7011 216
08/31/08 00:58:27 [Note]: 7035 0
08/31/08 00:58:27 [Note]: 7026 0
08/31/08 00:58:27 [Note]: 7026 0
08/31/08 00:58:29 [Note]: FSRAW library version 1.7.1024
08/31/08 00:59:24 [Note]: 2000 1012
08/31/08 01:01:22 [Note]: 7007 0



Das gibt es doch garnicht...

Auf jedem Laufwerk?? Damit sollte der MBR eigentlich in Ordnung sein.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

so.. thema hat sich erledigt.. ein einfaches tool brachte abhilfe und der störenfried hat sich anscheinend verabschiedet.. keine fehlermeldungen mehr vom bitdefender.. bin über das tool gestolpert:
MbrFix 1 - Freeware - ZDNet.de, Downloads, Utilities, System-Tools
mbrfix und fertig war die sache..

ich danke euch trotzdem mega arg für eure hilfe!!

Nun ist der MBR in Ordnung aber der Trojaner dürfte trotzdem noch da sein...