Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bitte logfile durchsehen...was ist mein Problem? (https://www.trojaner-board.de/55837-bitte-logfile-durchsehen-problem.html)

cosinus 15.07.2008 17:22
Da hat irgendwas sinowal-mäßiges (von diesem Schädling "Sinowal" kenn ich, daß der MBRs manipuliert) bei Dir voll eingeschlagen. Ich schlage vor, Du schreibst zuerst einen neuen MBR mit Hilfe der Vista-Wiederherstellungskonsole, und setzt dann nach einem Neustart das System neu auf (nat. Festplatte vorher formatieren!).

1.) in die Vista-Wiederherstellungskonsole booten - dort mit dem Befehl

bootrec /fixmbr

einen neuen MBR schreiben lassen.

2.) System neustarten, nach dieser Anleitung neu aufsetzen.

3.) Steht das System wieder, vorsichtshalber noch einen Durchlauf mit der mbr.exe machen und das Log posten, um sicherzustellen, daß der MBR auch einwandfrei ist.

wolverine77 15.07.2008 17:57
Hao root24,

nochmal herzlichen Dank für die Hilfe! Ich bin ganz schön platt (nach dem Motto, das kann mir doch nicht passieren...)

so, ich hab ja Win xp, ist das der gleiche Befehl auch für XP ? (bootrec /fixmbr
)

nach dem neuen mbr schreiben, kann ich sicher nicht mehr starten, d.h. ich muss dann das system neu aufsetzen?...das wird ein weilchen dauern und ich befürchte fast, dass ich dazu nicht sofort komme, es sei denn es beißt mich der "wilde hans"...muss ja noch alle dateien, die ich noch brauche sichern, bzw,. auf ne andere partition...

kannst du mir einen zukünftigen virenscanner empfehlen?

herzliche Grüße

cosinus 15.07.2008 18:10
Zitat:
Zitat von wolverine77 (Beitrag 354388)
so, ich hab ja Win xp, ist das der gleiche Befehl auch für XP ? (bootrec /fixmbr
)
Ach entschuldige, das hab ich irgendwie durcheinandergebracht. Eben dachte ich grad Du hättest Vista :D
Das hier gilt für die Wiederherstellunskonsole unter XP:

Zitat:
Gehen Sie folgendermaßen vor, um die Wiederherstellungskonsole von der Windows XP-Startdiskette oder der Windows XP-CD-ROM zu starten:
1. Legen Sie die Windows XP-Startdiskette in das Diskettenlaufwerk ein, oder legen Sie die Windows XP-CD-ROM in das CD-ROM-Laufwerk ein, und starten Sie den Computer anschließend erneut.

Wenn Sie dazu aufgefordert werden, wählen Sie alle Optionen aus, die für einen Start des Computers von CD-ROM erforderlich sind.
2. Wenn die Willkommensseite angezeigt wird, starten Sie mit der Taste [R] die Wiederherstellungskonsole.
3. Wählen Sie die Installation aus, auf die Sie von der Wiederherstellungskonsole aus zugreifen möchten, falls Sie über ein Dual-Boot- oder Multiple-Boot-System verfügen.
4. Geben Sie das Administratorkennwort ein, wenn Sie dazu aufgefordert werden. Wenn es sich bei dem Administratorkennwort um ein leeres Kennwort handelt, drücken Sie einfach die [EINGABETASTE].
Du mußt also von der Windows-CD booten und im Menü die Wiederherstellungskonsole wählen.
Dort dann einfach nur fixmbr ausführen. Ohne bootrec.

Zitat:
nach dem neuen mbr schreiben, kann ich sicher nicht mehr starten, d.h. ich muss dann das system neu aufsetzen?...
Nachdem mit fixmbr der MBR neu geschrieben wurde, kann man eigentlich noch immer Windows starten. Nur die fixmbr-Prozedur bei Dir hat den Sinn, den MBR wieder sauber zu kriegen. M.W. wird bei einem normalen Neuaufsetzen im Windows-Setup der MBR nämlich nicht neu geschrieben! Also sicher ist sicher, daher fixmbr. ;)

Zitat:
das wird ein weilchen dauern und ich befürchte fast, dass ich dazu nicht sofort komme, es sei denn es beißt mich der "wilde hans"...muss ja noch alle dateien, die ich noch brauche sichern, bzw,. auf ne andere partition...
Sichern solltest Du immer regelmäßig alles wichtige. Was tun bei nem Plattencrash? Da bleibt einem nur die Sicherung oder die Daten sind eben weg. Ok, in Deinem jetzigen Falle mußt Du irgendwie noch das wichtigste Sichern, da Dein System befallen ist, wär es besser das von einem Fremdsystem (BartPE, Knoppix) zu tun. Und wenn dann sichern, dann keine ausführbaren Dateien wie z.B. *.exe oder *.com!!
Wenn Du doch vom versifften System aus sichern willst und dann auf eine externe Platte, mußt Du damit rechnen, dass auch der MBR der externen Platte befallen wird!
Zitat:
kannst du mir einen zukünftigen virenscanner empfehlen?
In erster Linie BRAIN. Ein Virenscanner ist nur optional und nicht entscheidend für die Systemsicherheit!

wolverine77 19.07.2008 01:36
Hallo,

so habe nun das system neu aufgesetzt, noch nicht fertig...updates fehlen noch, aber es wächst langsam wieder.

ja "brain" ;-) autsch , hast ja recht...


Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1e4 !

cosinus 26.07.2008 15:04
So, war ne Woche im Urlaub, war deswegen verhindert. :)
Hast Du das Logfile VOR oder NACH dem Neuaufsetzen erstellt? GMER hat dort nämlich schädlichen Code im MBR entdeckt!


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:01 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131