Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: trojan.mebroot.b immer noch da?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.08.2008, 07:13   #1
Tabea
 
trojan.mebroot.b immer noch da? - Standard

trojan.mebroot.b immer noch da?



Hallo,

nach dem ich einige Probleme habe und mein bitdefender etwas von trojan.mebroot.b meldete bin ich auf Euer Forum gestossen und habe fleissig alle thread diesbezüglich gelesen und soweit mein Verständnis reicht nachvollzogen/gemacht.

Vorab ich benutze 2 Festplatten mit je zwei Partionenen. Auf der ersten ist Windows XP pro und VISTA als dualboot installiert.

mbr ergab für alle 4 Partitionen:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Zuerst war es infiziert.

Da ich mein bitdefender nicht richtig zum laufen bekomme unter XP (seit das aufgetretetn ist) meckert bitdefender unter VISTA nur noch auf der 2. HD wäre mebroot. Obwohl mbr nichts gefunden hat.

ccleaner hatte ich auch laufen lassen (Systemwiederherstellung wurder vorher und XP und VISTA deaktiviert).

Hijack macht bereits bei der Installation eine Fehlermeldung:


Als logfile erhalte ich dann dennoch dies:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:57:48, on 24.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mmc.exe
E:\Users\Tabbi\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1659004503-1637723038-1801674531-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - h**p://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Programme\nHancer\nHancerService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 8408 bytes


Langsam weiß ich nicht weiter. Leider habe ich keinen Freund, der sich mit PCs auskennt.

P.S.
Wie kann ich mit dem dualboot den abgesicherten modus starten? Es erscheint ja am Anfang immer nur die Auswahl xp oder vista.

Danke
Tabea

Alt 24.08.2008, 12:37   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
trojan.mebroot.b immer noch da? - Cool

trojan.mebroot.b immer noch da?



Hallo und

Wo wurde der Schädling denn gefunden? Poste doch mal am besten das Logfile vom Bitdefender. Acker diese Punkte für weitere Analysen ab:

1.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

2.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
3.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 24.08.2008, 13:53   #3
Tabea
 
trojan.mebroot.b immer noch da? - Standard

trojan.mebroot.b immer noch da?



Hallo,

bitdefender gibt dieses aus:
Code:
ATTFilter
Verbleibende ProblemeObjekt Name Bedrohungsname: Abschluss Status 
F:\=]Master Boot Record Trojan.Mebroot.B Löschen fehlgeschlagen (Datei befand sich in einem Archiv) 
G:\=]Master Boot Record Trojan.Mebroot.B Löschen fehlgeschlagen (Datei befand sich in einem Archiv)
         
Wobei F und G die beiden Partitionen auf der zweiten Festplatte sind.

Blacklight findet auch nichts:

Code:
ATTFilter
08/24/08 14:39:54 [Info]: BlackLight Engine 1.0.70 initialized
08/24/08 14:39:54 [Info]: OS: 6.0 build 6001 (Service Pack 1)
08/24/08 14:39:54 [Note]: 7019 4
08/24/08 14:39:54 [Note]: 7005 0
08/24/08 14:39:59 [Note]: 7006 0
08/24/08 14:39:59 [Note]: 7027 0
08/24/08 14:39:59 [Note]: 7035 0
08/24/08 14:39:59 [Note]: 7026 0
08/24/08 14:39:59 [Note]: 7026 0
08/24/08 14:40:01 [Note]: FSRAW library version 1.7.1024
08/24/08 14:40:13 [Note]: 4015 502
08/24/08 14:40:13 [Note]: 4027 502 131072
08/24/08 14:40:13 [Note]: 4020 501 131072
08/24/08 14:40:13 [Note]: 4018 501 131072
08/24/08 14:40:17 [Note]: 4015 1426
08/24/08 14:40:17 [Note]: 4027 1426 65536
08/24/08 14:40:17 [Note]: 4020 1424 65536
08/24/08 14:40:17 [Note]: 4018 1424 65536
08/24/08 14:40:22 [Note]: 4015 1605
08/24/08 14:40:22 [Note]: 4027 1605 65536
08/24/08 14:40:22 [Note]: 4020 560 65536
08/24/08 14:40:22 [Note]: 4018 560 65536
08/24/08 14:45:04 [Note]: 7007 0
         
Malwarebytes hat auch nichts gefunden:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1080
Windows 6.0.6001 Service Pack 1

14:50:58 24.08.2008
mbam-log-08-24-2008 (14-50-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|)
Durchsuchte Objekte: 625358
Laufzeit: 2 hour(s), 32 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Hm ratlos.
Das alles hab ich unter VISTA laufen lassen. Logfile für bitdefender unter XP kann ich nicht erstellen, da es nicht richtig läuft (keine Verbindung zum service, denke mal Fehler mit xcomm) Auch Neuinstallation hat es nicht behoben.
__________________

Alt 24.08.2008, 14:06   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
trojan.mebroot.b immer noch da? - Standard

trojan.mebroot.b immer noch da?



Erstell die Logfile bitte soweit möglich unter dem wahrscheinlich verseuchten Windows.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.08.2008, 15:14   #5
Tabea
 
trojan.mebroot.b immer noch da? - Standard

trojan.mebroot.b immer noch da?



malwarebytes braucht noch gut 2 stunden grummel.

blacklight hat nichts gefunden:

Code:
ATTFilter
08/24/08 15:57:00 [Info]: BlackLight Engine 1.0.70 initialized
08/24/08 15:57:00 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/24/08 15:57:00 [Note]: 7019 4
08/24/08 15:57:00 [Note]: 7005 0
08/24/08 15:57:04 [Note]: 7006 0
08/24/08 15:57:04 [Note]: 7011 3492
08/24/08 15:57:04 [Note]: 7035 0
08/24/08 15:57:04 [Note]: 7026 0
08/24/08 15:57:04 [Note]: 7026 0
08/24/08 15:57:05 [Note]: FSRAW library version 1.7.1024
08/24/08 16:11:04 [Note]: 7007 0
         
Und wie soll ich noch suchen, wenn bitdefender nicht zu öffnen ist? Es läuft anscheinend aber scannen kann ich nicht anwerfen.

Anderes Programm installieren?


Alt 24.08.2008, 17:05   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
trojan.mebroot.b immer noch da? - Icon32

trojan.mebroot.b immer noch da?



Zitat:
Zitat von Tabea Beitrag anzeigen
Und wie soll ich noch suchen, wenn bitdefender nicht zu öffnen ist? Es läuft anscheinend aber scannen kann ich nicht anwerfen.

Anderes Programm installieren?
Wo hab ich was von BD geschrieben??
Was ist mit Combofix?
__________________
--> trojan.mebroot.b immer noch da?

Alt 07.09.2008, 10:50   #7
Mecki2
 
trojan.mebroot.b immer noch da? - Standard

trojan.mebroot.b immer noch da?



Hallo zusammen,

das board hat mir schon öfters nur durch lesen geholfen.

Kurz meine Erfahrungen mit Mebroot und zur Beseitigung.

Ich habe alle Anleitungen befolgt, selbst eine Neuinstallation von XP brachte nicht immer folgende Meldung von "Gmer bzw mbr.exe/bat":

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

"device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x950e4c1 size 0x1ab !"

Geholfen hat ein Löschen der C Partition (NTFS) unter einer beliebigen Linux-live-CD. Dann habe ich C mit FAT32 unter linux formatiert.

Mit einer zuvorhergestellten Startdiskette win98 gestartet, dort FDISK /MBR eingegeben.

Danach nochmals die Systempartition (jetzt FAT32) gelösch und nachfolgen unter FDDISK neu angelegt und nochmals FDISK /MBR.

Jetzt ein altes Image von ME mit Acronis 7.0 eingespielt. Danach nochmals mit Startdiskette FDISK /MBR eingegeben. Jetzt das letzte Sicherungsimage von XP (NTFS) wieder auf C und endlich folgendes:

"Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK "

Meine Vermutung: Die NTFS-Partition läßt keine "Reinigung" des MBR durch die Dosstartdisketten zu. Deswegen die Umformatierung.

Dann habe ich noch über "Knoppicillin" und die Bart-Bilder erstellte XP-Livecd c´t-Version (stundenlang) alle Partitionen scannen lassen und nun hat BITdefender auch nichts mehr im MBR angezeigt, was Bitdefender zuvor nicht beseitigen konnte (siehe andere Forenbeiträge hier im Board). Knoppicilin ebenso mit der Anzeige sauber.

Gruß

Mecki2

Alt 08.09.2008, 20:39   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
trojan.mebroot.b immer noch da? - Cool

trojan.mebroot.b immer noch da?



Zitat:
Zitat von Mecki2
"device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x950e4c1 size 0x1ab !"
Auf so eine Meldung bin ich auch schon mal "reingefallen", man beachte das fettgedruckte! Jawohl, das besagt, dass der MBR okay ist! Gefunden wird "nur" schädlicher Code in einem bestimmten Sektor.

Sektor 0x950e4c1 (hexadezimal) steht für den 156.296.385. Sektor auf der Platte. Da ein Sektor immer eine Größe von 512 Bytes hat müsste da also schädlicher Kram irgendwo in dem Bereich ab 74,5 GiB auf dieser Platte der schädliche Code sein. Ob er da tatsächlich Schaden anrichtet weiß ich nicht. Dazugabs schonmal was von Karlkarl.

Deine Vorgehensweise ist übrigens recht umständlich, das ist garnicht nötig.
In der Windows-Wiederherstellungskonsole (WinXP) sollte es reichen fixmbr und fixboot auszuführen um den MBR wieder richten, aber auch die mbr.exe mit dem Schalter -f. Um alles restlos sauberzukriegen, sollte man DBAN einmal schnell durchlaufen lassen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.09.2008, 11:24   #9
Mecki2
 
trojan.mebroot.b immer noch da? - Standard

trojan.mebroot.b immer noch da?



Erstmal Danke für den Hinweis an root24 und den Link sowie die Erklärung dort.

Zweifelsohne etwas umständlich, man kann sich wohl das Zurückspielen des alten Images schenken.

Allerdings hat das mit der Wiederherstellungskonsole "fixmbr" nicht hingehauen, ebenso mit Combofix un den anderen Mitteln. Wie beschrieben, habe ich wirklich alles "Stück für Stück" abgearbeitet bis zur Neuinstallation von XP. Immer noch der obige Code danach.

Ich wollte lediglich meine Erfahrungen in 1 Woche Nachsitzungen beitragen, vielleicht hilft es ja anderen.

Gruß Mecki2

Alt 09.09.2008, 11:34   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
trojan.mebroot.b immer noch da? - Cool

trojan.mebroot.b immer noch da?



Naja, wenn der MBR okay (so wie in Deinem Beispiel) und irgendeine Leiche gefunden wird, scheint wohl irgendwas nicht ganz zu stimmen. Wie sieht/sah Deine Partitionsstruktur aus? War bei ca. 74 GB Ende einer Partition?

Jedenfalls werden bei solchen Meldungen fixboot und fixmbr nicht helfen, denn die schreiben nur einen neuen MBR. CF hilft schonmal garnicht, dass löscht lediglich Malwaredateien, operiert aber nicht auf Sektorebene wie die mbr.exe.

Statt DBAN könnte es auch helfen, sämtliche Partitionen zu löschen, das geht schneller. Jedenfalls um diese Meldung wegzukriegen, aber es scheint, dass keine Gefahr mer ausgeht. Der MBR ist ja auch okay.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu trojan.mebroot.b immer noch da?
abgesicherten modus, adobe, anfang, bho, bonjour, computer, cs3, defender, desktop, ellung, fehlermeldung, festplatte, firefox, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, konvertieren, logfile, mbr rootkit, mozilla, mozilla firefox, pdf-datei, rootkit, rundll, server, software, starten, tuneup.defrag, virus, vista, windows, windows xp, windows xp sp3, xp sp3




Ähnliche Themen: trojan.mebroot.b immer noch da?


  1. Windows 7 , PC stürzt immer wieder ab, nach säuberung mit Vipre immer noch viele verdächtig Datein im Autorun
    Log-Analyse und Auswertung - 15.01.2014 (12)
  2. Trojan p2p worm entfernt, aber immer noch Probleme
    Plagegeister aller Art und deren Bekämpfung - 13.12.2013 (3)
  3. Nach Befall von Exploit.Drop.GS und Trojan.PWS - Pc trotz angeblicher erfolgreicher Bereinigung immer noch langsam
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (32)
  4. Trojan.Banker und Trojan.Agend oft mit Antivir gelöscht aber immer wieder gekommen.
    Log-Analyse und Auswertung - 11.07.2012 (2)
  5. Verseucht - Windows läuft kaum noch. Rogue.FakeHDD; Trojan.FakeMS; Rogue.AntiMalware; Trojan.Agent
    Log-Analyse und Auswertung - 08.06.2011 (22)
  6. Trojan ADH trotz format C: immer noch aktiv
    Log-Analyse und Auswertung - 14.02.2011 (1)
  7. Trojan.Win32.Generic!BT nach neuinstallation immer noch auf dem PC
    Log-Analyse und Auswertung - 28.08.2010 (15)
  8. boot.mebroot bzw. win32/mebroot.mbr Problem - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (10)
  9. Bitte hilfe bei Trojan.Mebroot.B
    Log-Analyse und Auswertung - 22.03.2009 (3)
  10. Immer noch nicht weg,obwohl ich alle Punkte durchg. bin ->Trojan-Keylogger.WIN32.Fung
    Plagegeister aller Art und deren Bekämpfung - 01.11.2008 (2)
  11. Achtung: Wie eleminiere ich Trojan.Mebroot, bitte?
    Log-Analyse und Auswertung - 16.10.2008 (1)
  12. Trojan.Win32.Agent.acra, Trojan-Downloader.JS.gen und noch ein paar weitere
    Log-Analyse und Auswertung - 09.09.2008 (3)
  13. Operating memory - Win32/Mebroot trojan - unable to clean
    Plagegeister aller Art und deren Bekämpfung - 13.08.2008 (2)
  14. BOO/Sinowal.A bzw. Trojan.Mebroot.B
    Plagegeister aller Art und deren Bekämpfung - 23.07.2008 (10)
  15. Virus: Trojan.Mebroot.B
    Plagegeister aller Art und deren Bekämpfung - 07.07.2008 (19)
  16. Immer noch Probleme
    Antiviren-, Firewall- und andere Schutzprogramme - 31.05.2008 (11)
  17. Trojan Dropper.VB beseitigt jedoch immer noch Probleme....
    Log-Analyse und Auswertung - 07.09.2006 (3)

Zum Thema trojan.mebroot.b immer noch da? - Hallo, nach dem ich einige Probleme habe und mein bitdefender etwas von trojan.mebroot.b meldete bin ich auf Euer Forum gestossen und habe fleissig alle thread diesbezüglich gelesen und soweit mein - trojan.mebroot.b immer noch da?...
Archiv
Du betrachtest: trojan.mebroot.b immer noch da? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.