Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Boot.Mebroot (https://www.trojaner-board.de/66886-boot-mebroot.html)

Silverbrain 21.12.2008 16:10
Boot.Mebroot
 
Hallo an alle!

Ich habe seit gestern ein Problem, habe vor zwei Tagen mein System neu aufgesetzt Windows XP Home SP1 dieses dann übern IE geupdatet auf SP3

Dann gestern Antivir installiert, und prompt nen Virus gefunden ... Der sich angeblich im MBR befinden soll ...

Da Antivir diesen nicht beseitigen kann, hab ich mir heute Norton Antivirus 09 geladen (ne Testversion).

Norton hat auch gleich was entdeckt und zwar Boot.Mebroot ...

Angeblich wurde der Virus/Trojaner entfernt.

Kann ich aber irgendwie nicht glauben ...

Kann mir bitte wer helfen, und mir sagen wie ich das kontrollieren kann?


danke

Liebe Grüße Silverbrain

P.S. Welches Antiviren Programm ist am besten?

john.doe 21.12.2008 16:21
Hallo und :hallo:

Führe dieses MBR-Tool aus und poste die Ausgabe.

Frohe Weihnachten, andreas

Silverbrain 21.12.2008 17:20
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x995c69a size 0x1e4 !
copy of MBR has been found in sector 62 !


scheint also noch nich entfernt zu sein!?

Liebe Grüße Silverbrain

john.doe 21.12.2008 17:34
Zitat:
user & kernel MBR OK
malicious code @ sector 0x995c69a size 0x1e4 !
copy of MBR has been found in sector 62 !


scheint also noch nich entfernt zu sein!?
Doch, aus dem MBR ist er raus. Andernfalls hätte die Meldung z.B. so gelautet:
Zitat:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
Also Entwarnung.

ciao, andreas

Silverbrain 21.12.2008 17:35
Zitat:
Zitat von Silverbrain (Beitrag 399971)
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

malicious code @ sector 0x995c69a size 0x1e4 !
copy of MBR has been found in sector 62 !

und was hat das zu bedeuten?

Liebe grüße Silverbrain

john.doe 21.12.2008 17:45
Zitat:
copy of MBR has been found in sector 62 !
Die ist immer da. Die Kopie kann im Falle eines defekten oder befallenen MBRs mit dem Konsolenbefehl fixmbr wiederhergestellt werden.
Zitat:
malicious code @ sector 0x995c69a size 0x1e4
Das bedeutet, dass ein Überrest verblieben ist, der allerdings nicht aktiv ist.

Falls dich das stört muss die Festplatte komplett gelöscht werden, z.B. mit DBan.

ciao, andreas

Silverbrain 21.12.2008 17:47
aber erneut was passieren kann nicht?

sowie pw's auslesen etc.?!

frohe weihnachten dir und vielen dank für deinen Support

liebe Grüße Silverbrain

john.doe 21.12.2008 17:58
Zitat:
aber erneut was passieren kann nicht?
Irgendwie hast du ihn ja bekommen. Wenn du das Gleiche noch einmal machst, dann hast du ihn wieder.

Falls du jetzt auf den Überrest anspielst, der ist ungefährlich.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:22 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129