malwarebytes braucht noch gut 2 stunden grummel.

blacklight hat nichts gefunden:

Code: Alles auswählenAufklappen

ATTFilter

08/24/08 15:57:00 [Info]: BlackLight Engine 1.0.70 initialized
08/24/08 15:57:00 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/24/08 15:57:00 [Note]: 7019 4
08/24/08 15:57:00 [Note]: 7005 0
08/24/08 15:57:04 [Note]: 7006 0
08/24/08 15:57:04 [Note]: 7011 3492
08/24/08 15:57:04 [Note]: 7035 0
08/24/08 15:57:04 [Note]: 7026 0
08/24/08 15:57:04 [Note]: 7026 0
08/24/08 15:57:05 [Note]: FSRAW library version 1.7.1024
08/24/08 16:11:04 [Note]: 7007 0
         

Und wie soll ich noch suchen, wenn bitdefender nicht zu öffnen ist? Es läuft anscheinend aber scannen kann ich nicht anwerfen.

Anderes Programm installieren?

Zitat:

Zitat von Tabea

Und wie soll ich noch suchen, wenn bitdefender nicht zu öffnen ist? Es läuft anscheinend aber scannen kann ich nicht anwerfen.

Anderes Programm installieren?

Wo hab ich was von BD geschrieben??
Was ist mit Combofix?

Hallo zusammen,

das board hat mir schon öfters nur durch lesen geholfen.

Kurz meine Erfahrungen mit Mebroot und zur Beseitigung.

Ich habe alle Anleitungen befolgt, selbst eine Neuinstallation von XP brachte nicht immer folgende Meldung von "Gmer bzw mbr.exe/bat":

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

"device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x950e4c1 size 0x1ab !"

Geholfen hat ein Löschen der C Partition (NTFS) unter einer beliebigen Linux-live-CD. Dann habe ich C mit FAT32 unter linux formatiert.

Mit einer zuvorhergestellten Startdiskette win98 gestartet, dort FDISK /MBR eingegeben.

Danach nochmals die Systempartition (jetzt FAT32) gelösch und nachfolgen unter FDDISK neu angelegt und nochmals FDISK /MBR.

Jetzt ein altes Image von ME mit Acronis 7.0 eingespielt. Danach nochmals mit Startdiskette FDISK /MBR eingegeben. Jetzt das letzte Sicherungsimage von XP (NTFS) wieder auf C und endlich folgendes:

"Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK "

Meine Vermutung: Die NTFS-Partition läßt keine "Reinigung" des MBR durch die Dosstartdisketten zu. Deswegen die Umformatierung.

Dann habe ich noch über "Knoppicillin" und die Bart-Bilder erstellte XP-Livecd c´t-Version (stundenlang) alle Partitionen scannen lassen und nun hat BITdefender auch nichts mehr im MBR angezeigt, was Bitdefender zuvor nicht beseitigen konnte (siehe andere Forenbeiträge hier im Board). Knoppicilin ebenso mit der Anzeige sauber.

Gruß

Mecki2

Zitat:

Zitat von Mecki2

"device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x950e4c1 size 0x1ab !"

Auf so eine Meldung bin ich auch schon mal "reingefallen", man beachte das fettgedruckte! Jawohl, das besagt, dass der MBR okay ist! Gefunden wird "nur" schädlicher Code in einem bestimmten Sektor.

Sektor 0x950e4c1 (hexadezimal) steht für den 156.296.385. Sektor auf der Platte. Da ein Sektor immer eine Größe von 512 Bytes hat müsste da also schädlicher Kram irgendwo in dem Bereich ab 74,5 GiB auf dieser Platte der schädliche Code sein. Ob er da tatsächlich Schaden anrichtet weiß ich nicht. Dazugabs schonmal was von Karlkarl.

Deine Vorgehensweise ist übrigens recht umständlich, das ist garnicht nötig.
In der Windows-Wiederherstellungskonsole (WinXP) sollte es reichen fixmbr und fixboot auszuführen um den MBR wieder richten, aber auch die mbr.exe mit dem Schalter -f. Um alles restlos sauberzukriegen, sollte man DBAN einmal schnell durchlaufen lassen.

Erstmal Danke für den Hinweis an root24 und den Link sowie die Erklärung dort.

Zweifelsohne etwas umständlich, man kann sich wohl das Zurückspielen des alten Images schenken.

Allerdings hat das mit der Wiederherstellungskonsole "fixmbr" nicht hingehauen, ebenso mit Combofix un den anderen Mitteln. Wie beschrieben, habe ich wirklich alles "Stück für Stück" abgearbeitet bis zur Neuinstallation von XP. Immer noch der obige Code danach.

Ich wollte lediglich meine Erfahrungen in 1 Woche Nachsitzungen beitragen, vielleicht hilft es ja anderen.

Gruß Mecki2

Naja, wenn der MBR okay (so wie in Deinem Beispiel) und irgendeine Leiche gefunden wird, scheint wohl irgendwas nicht ganz zu stimmen. Wie sieht/sah Deine Partitionsstruktur aus? War bei ca. 74 GB Ende einer Partition?

Jedenfalls werden bei solchen Meldungen fixboot und fixmbr nicht helfen, denn die schreiben nur einen neuen MBR. CF hilft schonmal garnicht, dass löscht lediglich Malwaredateien, operiert aber nicht auf Sektorebene wie die mbr.exe.

Statt DBAN könnte es auch helfen, sämtliche Partitionen zu löschen, das geht schneller. Jedenfalls um diese Meldung wegzukriegen, aber es scheint, dass keine Gefahr mer ausgeht. Der MBR ist ja auch okay.