MBR überschreiben, anstatt bei VT zu prüfen
 

Hallo Leute von TB,

ich kapiere nicht, warum die Helfer hier nach Scan mit asw avast und dem Ergebnis: Unknown bootcode nicht die mbr.dat bei VT hochladen, sondern gleich den MBR neuschreiben. Dabei geht doch eine evtl. System Restore Option futsch/der Nutzer hat keinen Zugriff mehr auf die Partition. Unknown Bootcode muss ja absolut kein mbr Rootkit sein.

Wenn Du schon solche Sachen äusserst wäre ein Link vielleicht nicht schlecht ;)

Der Helfer "Cosinus" macht das immer, wenn asw beim Scan "unknown Mbr" meldet:
Z.B: http://www.trojaner-board.de/113756-...rus-hilfe.html

Gibt es da auch was aktuelleres? Der thread ist von April 2012, und du meldest dich jetzt erst. Deswegen frag ich.

Vllt hat er sich ja im Monat und im Jahr vertan? :zunge:
Und ja, früher neigte ich sehr schnell dazu, den MBR zu überschreiben, lieber ein schöner als ein unbekannter MBR hieß mein Motto, gerade zu den wilden Zeiten dess TDSS wo man ihn an jeder Ecke witterte :twak::headbang:

maybe. irgendwie komt nix mehr von ihm :D

Also doch nur Heißluft? :kaffee:

Jungs, Jungs, ganz mit der Ruhe. Ich sitze halt nicht wie ihr von morgens bis abends vor der Kiste.

@Cosinus: Gib es doch zu, wenn das Tool asw von Avast unknown mbr auspuckt, ist dein festes Ritual: "Wir sollten den MBR neuschreiben..." Egal ob vor einem Jahr oder gestern.

Ich beobachte eine steigende Arroganz und Überheblichkeit von deiner Seite, im Laufe der Jahre, gegenüber den Hilfesuchenden und anderen hier auf TB. Diese Antwort passt da perfekt ins Bild. Wenn dir das hier kein Spass mehr macht, finde dir doch ein neues Hobby: Was mit Briefmarkensammeln?! :lach: Das ist fast sinnvoller, als den Hilfesuchenden hier die Illusion zu vermitteln, nach deiner alltäglichen Toolattacke wären ihre total verseuchten Kisten wieder vertrauenswürdig. :killpc:

jetzt bin ich aber gespannt, erleuchte mich mal wie man sowas genau anstellt,

Mr. "Malware bekäfmpen is wie en Drachen mit hunderten Köpfen zu bekäfmpen "

Da spricht ja mal wieder ein wahrer Experte, der sich nur auf MBRs austobt, das auch in seinem Avatar angibt :rofl: und meint behaupten zu müssen wann und ob ich MBRs fixen lasse :lach: aber danke für deine Einlage

Ja, du hast Recht, dein Posting passt perfekt gerade in das Bild, welches ich gerade von dir habe :D

Wenn dir das Trollen in anderen Foren keinen Spaß mehr macht versuchst du es also einfach mal im TB, was? :)


Was hab ich vorher von Heißluft erzählt? ;)
Dass seine Luft garnicht heiß war, liegt bestimmt daran, dass wir uns gerade im Februar befinden :D

Arne du solltest die Tools für deine "alltägliche Toolattacke" mal ändern vielleicht ist sie dann nicht mehr so alltäglich. :D

Also nie wieder aswMBR oder zufällig irgendwelchen TOs aufgeben? :D

:kloppen:

Das ist gut :lach:

--
Hallo mein Name ist [randomname][/randomname] und ich werde dir bei der Bereinigung helfen!

Bitte führe Folgende Tools aus und poste die Logs

3x { [randomtool][/randomtool] }

:rofl: :daumenhoc ryder
Der war echt gut.

Und ne kleine Info für unseren MBR Menschen.

Die mbr.dat von aswMBR zeigt in 90% der Fälle nen sauberen MBR an, obwohl dieser doch infiziert ist ;)

Genau so sieht es aus.

Und einen offline MBR dump hol ich mir auch nur dann, wenn der User Probleme hat. ;)

Ihr seid echt ne lustige Truppe, Jungs. Der gelbe Trojaner Board Kindergarten... Den Eindruck bekommt man auf jeden Fall, wenn man eure Kommentare hier liest.

Zur Sache: Die mbr.dat ist ein Abbild vom MBR und zeigt erstmals garnichts an. Das bleibt den Scannern von VT überlassen.

@Cosinus: Wenn ihr hier auf TB dem Scanresultat von dem Tool asw nicht vertraut, frage ich mich doch, warum ihr dann den Scanresultaten von all den anderen Scan-Tools vertraut, die ihr hier bei der "Bereinigung"(?) von zum Teil stark verseuchten PCs verwendet. Verfolgt man eure Logik/euren Gedankengang bis zum Ende, ist also konsequent, würde das bedeuten, dass dem Hilfesuchenden geraten werden sollte, den PC neuaufzusetzen, da die Tools keine vertrauenswürdige Scanresultate abliefern.

Anstatt aus reinem Misstrauen, das der MBR infiziert ist, den MBR neuzuschreiben und eine evtl. vorhandene System-Restore-Option damit zu entfernen, wäre es doch sinnvoller, sicherer und hilfreicher für den Hilfesuchenden, den PC anhand dieser System-Restore-Option auf einen sauberen Ausdlieferungszustand zurückzusetzen. Dabei wird der MBR neugeschrieben und ein vertrauenswürdiger Zustand wieder hergestellt.

Na oder man weiss halt was man tut und kann den MBR selber soweit interpretieren, dass man die gaengigen bootkits erkennen kann. Da braucht es nun wirklich kein Virustotal fuer...

Mal davon abgesehen ist es so, dass das Abbild das aswMBR macht, eben das Abbild ist, das man waehrend aktiver malware sieht. Sprich, der MBR, dem einen von der Malware vorgekaukelt kriegt (wenn aswMBR das nicht durchschaut, was eben nicht immer der Fall ist). Daher muss hier Vorsicht walten.
Andere tools haben andere Ziele und listen andere Infektionen. Nicht jedes Tool will jede moegliche Infektion finden. Die meisten Tools konzentrieren sich auf bestimmte Bereiche und versuchen nicht Rootkits auszuhebeln und haben daher auch nicht das Problem mit dem "vertrauenswuerdig oder nicht" bzw "Rootkit erfolgreich ausgehebelt oder nicht". Nicht jedes tool is die Eierlegendewollmilchsau. Man muss eben wissen was man nutzt um was zu erkennen und wo die Grenzen des jeweiligen Tools liegen..

Servus,


Es geht in diesem Thema nicht um deine subjektive Wahrnehmung bezüglich aller Helfer auf diesem Forum. Solche provokanten Äußerungen und Verallgemeinerungen kannst du dir sparen, da sie niemals zielführend sind und nicht der Realität entsprechen.

Willst hier nur trollen oder vernünftig Kitik ausüben?
Mit solchen peinlich unsachlichen Kommentaren wird man dich wohl kaum ernst nehmen können

Genau das ist Quatsch. Dann könnten wir uns den ganzen Kram hier sparen wenn alle so denken wie du und jeden Fall wegformatieren lassen.
Zudem hab ich schon einige Fälle gesehen, wo der MBR auch NACH der Recoverygeschichte noch infiziert war. Dann sollte man wenn du schon wenn überhaupt gleich von einer DVD alles neu installieren, anstatt von der RecoveryPartition zu booten, die auf der Platte mit infiziertem MBR liegt. Klingelt's?

:rofl::rofl::rofl: