Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vermeintlicher MBR RootKit (F-Secure)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.02.2009, 21:46   #1
HellScreAm
 
Vermeintlicher MBR RootKit (F-Secure) - Standard

Vermeintlicher MBR RootKit (F-Secure)



Hallo,
ich poste in der Hoffnung auf eine 2. Meinung oder eine Lösung des Problems, also ich fange am besten mal ganz genau an zu beschreiben.
Sicher kennt jeder hier das anti-rootkit tool von F-Secure namens Blacklight, wenn ich eben dieses tool starte, dann meldet meine ComodoFW, dass dies ein ungewöhnlicher Alarm sei und ich ihn gegebenenfalls erstmal blocken sollte ... gesagt getan ----> http://playpic.net/viewer.php?file=r...h0gxyd59ra.jpg

So wenn ich also die Aktion blockiere, meldet F-Secure folgendes nach einem Scan ----> http://playpic.net/viewer.php?file=k...okavsrnmih.jpg

Das gefundene "Hidden File" soll dann angeblich der MasterBootRecord sein.

Derartiges hatte ich vorher noch nie, die Suche und Google konnten mir auch leider nicht helfen. Ich hatte dies bereits vor einer Woche schonmal und habe daraufhin mein Windows neu aufgesetzt, deshalb bin ich umso verwirrter.

Mit den tools von GMER (RootkitBuster und mbr) habe ich ebenfalls gescannt, beide tools sagen es sei alles okay mit dem MBR (also steht die Aussage quasi 2:1 für einen false positive).

HJT etc. melden auch nichts. Als OS kommt bei mir Win XP mit SP3 + aktuelle Updates zum Einsatz, als Viren/SpywareScanner habe ich AntiVir und Spyware Doctor laufen, als FireWall verwende ich die ComodoFireWall Pro.

PS: Den mbr über Windows Wiederherstellungskonsole zu sichern habe ich letztes mal schon probiert, aber wie gesagt beim letzten Mal kann es auch ein false positive gewesen sein .... bin mit meinem Latein echt am Ende.

Danke im Voraus für eure Hilfe. Mfg

Alt 25.02.2009, 05:36   #2
Kaos
 
Vermeintlicher MBR RootKit (F-Secure) - Standard

Vermeintlicher MBR RootKit (F-Secure)



Der Eintrag, den du mit der ComodoFW geblockt hast, ist von F-Secure Blacklight.

Lass GMER nochmal laufen und poste das Ergebnis hier.

Lade dir auch Catchme von Gmer.net (Ergebnis nur posten, wenn er hidden files findet).

Andere Frage.... Warum hast du deinen Rechner überhaupt mit Blacklight gescant? Gab es einen Grund dafür oder war dir einfach nur langweilig ; )
__________________


Alt 25.02.2009, 13:30   #3
HellScreAm
 
Vermeintlicher MBR RootKit (F-Secure) - Standard

Vermeintlicher MBR RootKit (F-Secure)



Hi,
naja zur Kontrolle, Ich lasse so einmal pro Monat jeden Scanner den ich so hab' drüber laufen, um einer Infektion vorzubeugen.

So hier der Log vom GMER MBR tool:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


RootKitBuster Log:

+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.2.0.1014
+----------------------------------------------------


--== Dump Hidden MBR and Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

So und zu guter Letzt CatchMe Log:

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

detected NTDLL code modification:
ZwClose, ZwOpenFile

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

(Hab ihn trotzdem mal gepostet, um absolut sicher zu gehen.)

Wie gesagt Blacklight zeigt das mit dem MBR NUR an, wenn ich die Aktivität von services.exe blocke, wenn ich den Zugriff zulasse, dann ist alles sauber.

PS: Services.exe habe ich auch bei Jotti und VirusTotal scannen lassen, war beide Male sauber, aber ich habe gestern versucht auf den Key von Blacklight zuzugreifen (fsbl standalone usw.) das war allerdings nicht möglich (ist das auch normal =?).

Hoffe auf eine "gute" Antwort.
Und danke für die schnelle Antwort^^ auf den 1. Post. Grüße
__________________

Alt 25.02.2009, 13:34   #4
Jig Saw
/// Helfer-Team
 
Vermeintlicher MBR RootKit (F-Secure) - Standard

Vermeintlicher MBR RootKit (F-Secure)



der MBR ist sauber, aber wenn du unbedingt nach Rootkits scannen willst kannst du das auch noch machen:


Avira AntiRootkit Tool
  • Downloade Avira AntiRootkit Tool von >>hier<< oder >>hier<< und speichere es auf dem Desktop
  • Entpacke und installiere es
  • Start => Avira RootKit Detection
  • Versichere, dich dass alle Kästchen einen Hacken haben außer "Fast Scan"
  • Schließe nun alle Programme auch dein AV-Prog und trenne dich physikalisch von der Internet Verbindung
  • Falls Rootkits gefunden wurden klicke auf "Quarantine all" danach 2 mal "OK"
  • Klicke auf View report und kopiere den gesamten Text und speichere den gesamten Text als eine Textdatei
  • Boote den PC neu und danach noch einmal einen Scan durchführen
  • den report jetzt posten



Blacklight scannen lassen
  • Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
  • Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
  • Klick "I accept the agreement", "next", "Scan".
  • Wenn der Scan fertig ist beende Blacklight mit "Close".
  • Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Gmer




  • Donwloade Gmer
  • Entpacke es auf dem Desktop
  • Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
  • Schließe bitte alle Anwendungen, auch das Antivirusprogramm
  • Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
  • Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
  • Beende GMER mit "OK"



aber an deiner Stelle würde ich die Comodo Firewall deinstallieren genauso wie Spyware Doctor
__________________
A fool with a tool is still a fool

Alt 25.02.2009, 16:36   #5
HellScreAm
 
Vermeintlicher MBR RootKit (F-Secure) - Standard

Vermeintlicher MBR RootKit (F-Secure)



Hoi, wow wieder super schnelle Antwort, wunderbar da bin ich ja beruhigt ... ne passt schon mit RootKit Scannen ... habe das System vor 2 Tagen neu aufgesetzt, wegen dem Fehler von Blacklight, im Prinzip umsonst ... aber es ist wenigstens alles wieder clean. Aber wieso sollte ich SpyWareDoctor und die ComodoFW de-installieren °_° ... bin total überzeugt von den Programmen. Aber kannst mir ja gerne Begründen warum.

Grüße


Alt 28.02.2009, 23:52   #6
Jig Saw
/// Helfer-Team
 
Vermeintlicher MBR RootKit (F-Secure) - Standard

Vermeintlicher MBR RootKit (F-Secure)



Spyware Doctor hat nur eine mäßige Erkennungsrate und kann Malware eher schlecht Entfernen.
Ich bin meist generell gegen PFs (Personal Firewalls), bei Comodo gibt/ gab es oft Probleme, dass das Internet nicht mehr ging. Ich finde die beste Lösung ist die Windows Firewall und brain.exe
__________________
--> Vermeintlicher MBR RootKit (F-Secure)

Antwort

Themen zu Vermeintlicher MBR RootKit (F-Secure)
aktuelle, alarm, antivir, blocken, ebenfalls, f-secure, false positive, file, firewall, folge, gmer, google, lösung, mas, masterbootrecord, mbr rootkit, neu, neu aufgesetzt, rootkit, scan, sp3, spyware doctor, suche, tool, tools, ungewöhnlicher, updates, win xp, win xp mit sp3, windows



Ähnliche Themen: Vermeintlicher MBR RootKit (F-Secure)


  1. Nach vermeintlicher DHL-Mail Probleme beim Online-Banking und massenhaft Mails
    Plagegeister aller Art und deren Bekämpfung - 12.06.2015 (28)
  2. Vista Home Premium: Email mit vermeintlicher Pay-Pal Mahnung geöffnet
    Log-Analyse und Auswertung - 07.09.2014 (17)
  3. Vermeintlicher GMX MailerDaemon sendet 'mailbox unavailable' Nachrichten obwohl Mails ankommen
    Plagegeister aller Art und deren Bekämpfung - 30.07.2014 (1)
  4. zip-Datei Virus-Anhang in vermeintlicher PayPal-Mail via Handy geöffnet
    Plagegeister aller Art und deren Bekämpfung - 30.06.2014 (3)
  5. Infektion nach Download vermeintlicher Vodafone Rechnung
    Plagegeister aller Art und deren Bekämpfung - 30.06.2014 (17)
  6. Anhang vermeintlicher Mahnungsmail geöffnet und evtl. Trojaner eingefangen - was nun?
    Plagegeister aller Art und deren Bekämpfung - 13.07.2013 (14)
  7. Vermeintlicher Zero-Day-Exploit für Plesk
    Nachrichten - 06.06.2013 (0)
  8. vermeintlicher GVU-Trojaner, Laptop gesperrt, 100€ innerhalb von 48
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (6)
  9. Neuer GVU-Trojaner erpresst mit vermeintlicher Kinderpornografie
    Plagegeister aller Art und deren Bekämpfung - 30.01.2013 (6)
  10. vermeintlicher BKA-Trojaner - wirklich weg?
    Log-Analyse und Auswertung - 08.04.2012 (17)
  11. vermeintlicher Bundestrojaner, wpbt0.dll[.ink]
    Log-Analyse und Auswertung - 29.12.2011 (11)
  12. nach vermeintlicher entfernung des BKA Trojaners jetzt anderes Problem
    Plagegeister aller Art und deren Bekämpfung - 28.12.2011 (8)
  13. Kein WLAN nach vermeintlicher Virenentfernung (Win XP)
    Plagegeister aller Art und deren Bekämpfung - 02.12.2011 (15)
  14. Vermeintlicher Patch für Internet Explorer enthielt Trojaner
    Nachrichten - 12.11.2010 (0)
  15. Nach vermeintlicher Desinfizierung PC sehr langsam --> noch Befallen?
    Log-Analyse und Auswertung - 26.12.2008 (2)
  16. PC nach vermeintlicher Reinigung langsam-> noch befallen?
    Mülltonne - 25.12.2008 (0)
  17. Wifi Sniff -> ein vermeintlicher Bot???
    Plagegeister aller Art und deren Bekämpfung - 19.07.2008 (4)

Zum Thema Vermeintlicher MBR RootKit (F-Secure) - Hallo, ich poste in der Hoffnung auf eine 2. Meinung oder eine Lösung des Problems, also ich fange am besten mal ganz genau an zu beschreiben. Sicher kennt jeder hier - Vermeintlicher MBR RootKit (F-Secure)...
Archiv
Du betrachtest: Vermeintlicher MBR RootKit (F-Secure) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.