Win32/Mebroot.K trojaans paard

[lightframe]

Zal er volgende week wel staan. Mag er verder nooit iets over zeggen maar ben zelf zeer actief als beta-tester voor beveiligingssoftware van verschillende merken. En als ik dan nu zou zeggen de programma X volgende week wel een oplossing heeft en om een of andere reden wordt dat veel later, dan geeft dat programma X misschien een slechte naam.

 

[frenkiew]

Ik heb zelf precies hetzelfde probleem. Werd van het weekend onaangenaam verrast door Sinowal.A. Heb inmiddels 3 van mn 4 partities geformatteerd en verschillende anti-rootkits gebruikt, waaronder CureIt en gmer.exe. Volgens mij heb ik geen actieve infectie meer, maar zou graag ook alle "restjes" weghalen.

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x98a7fec size 0x1c1 !
copy of MBR has been found in sector 62 !

Is het iemand al gelukt om de harddisk ook clean te krijgen volgens mbr.exe of gmer.exe ?

 

[lightframe]

frenkiew, zou je eens willen scannen met Prevx Edge?

Ik weet niet zeker of die de restanten zal aanmerken als malware, weet wel dat als Prevx Edge de MBR rootkit verwijdert, dan ook direct de restanten zal verwijderen.

Als Edge iets detecteert heb ik wel een trial-code voor je om het gedetecteerde ook te kunnen verwijderen.

 

[frenkiew]

Hoi lightframe, bedankt voor je supersnelle antwoord! Ik heb gescand met Prevx CSI maar die vindt niets.

Er zijn online verschillende threads over dit onderwerp, maar ben nog niemand tegengekomen die weet hoe je de "restjes" kunt opruimen.

Bedankt!
Frank

 

[egkok]

Hoi !

Systeemherstel uitzetten, opnieuw scannen, opnieuw opstarten, nieuw herstelpunt maken en systeemherstel weer inschakelen.

Doe je dit niet ben je volgend jaar nog aan het zoeken !

Greetz,

Harry.

Wat bedoel je hier precies mee?? Je krijgt hem er gewoon niet vanaf toch??

 

[Harry Snor]

Hoi !

Systeemherstel heeft waarschijnlijk een automatisch herstelpunt gemaakt waardoor de malware ook is opgeslagen.

Die blijft dus doodeenvoudig na een reboot iedere keer terugkomen.

Dus: alle herstelpunten verwijderen, ben je de rommel ook kwijt.

Niet zo moeilijk, toch ?

Greetz,

Harry.

 

[egkok]

Hoi !

Systeemherstel heeft waarschijnlijk een automatisch herstelpunt gemaakt waardoor de malware ook is opgeslagen.

Die blijft dus doodeenvoudig na een reboot iedere keer terugkomen.

Dus: alle herstelpunten verwijderen, ben je de rommel ook kwijt.

Niet zo moeilijk, toch ?

Greetz,

Harry.

Dat snap ik maar je zal toch eerst dat trojaanse paard kwijt moeten en dat lukt niet. Met geen enkel programma, wordt trouwens alleen maar ontdekt door NOD 32!!
Win32?mebroot.k
Het zal anno 2009 toch niet zo zijn dat zoon Trojaan niet te verwijderen valt??????? Weet jij misschien hoe????

 

[Harry Snor]

Hoi !

Rechtstreeks van NOD 32: (Wilders' forum)

1. boot on XP CD
2. Press R for repair
3. In recovery console type the following
4. fixmbr \device\harddrive0
Are you sure you want to replace MBR blablabla... y (yes)
4. fixmbr \device\harddrive1
4. fixmbr \device\harddrive2
(for as much drives as you have)

De trojan zit in je mbr, vandaar dus.

Greetz,

Harry.

 

[egkok]

Hoi !

Rechtstreeks van NOD 32: (Wilders' forum)

1. boot on XP CD
2. Press R for repair
3. In recovery console type the following
4. fixmbr \device\harddrive0
Are you sure you want to replace MBR blablabla... y (yes)
4. fixmbr \device\harddrive1
4. fixmbr \device\harddrive2
(for as much drives as you have)

De trojan zit in je mbr, vandaar dus.

Greetz,

Harry.

Komt misschien beetje stom over maar schrijf ik het exact zo of????

fixmrb\device\harddrive1

of moet ik invullen
fixmbr\device?\harddrive?

ik geef je het resultaat na de actie

 

[Harry Snor]

Hoi !

Wat er staat: fixmbr\device\harddrive0

etc. etc.

Greetz,

Harry.

 

[egkok]

Hoi !

Wat er staat: fixmbr\device\harddrive0

etc. etc.

Greetz,

Harry.

Het gaat toch anders.
Je typt fixmbr en daarna krijg je de vraag..blabla device\harddisk0\partition0 ? waar je dan j op antwoord. Vervolgens wordt er kennelijk gefixt, waarna exit en opstart en ..ja hoor wat ik al vreesde, het heeft niks geholpen, gewoon nog aanwezig ondanks uitschakeling van systeemherstel! NOD32 is trouwens de enige die hem ontdekt. Wat doet dat paard eigenlijk voor kwaad????? Lijkt wel een bug van NOD32 Nog suggesties?? Met googlen overigens ook nog niks gevonden... gr elbert Dat paard bestaat al eeuwen en anno 2009 nog niet te verwijderen????

 

[Harry Snor]

Hoi !

Sorry: internet staat er dus vol mee !

Maar ik zou het volgende doen:

Download and run ESET SysInspector
http://www.eset.com/download/sysinspector.php

When the utility has collected the information , click File > Save Log
Confirm your wish. A log file , placed in a zip archive , will be created.

Send that archived file to ESET Technical Support , support@eset.com .
Then , they'll guide you to a way to eliminate the possible threat and recover from the problems.

Greetz,

Harry.

 

[egkok]

Hoi !

Sorry: internet staat er dus vol mee !

Maar ik zou het volgende doen:

Download and run ESET SysInspector
http://www.eset.com/download/sysinspector.php

When the utility has collected the information , click File > Save Log
Confirm your wish. A log file , placed in a zip archive , will be created.

Send that archived file to ESET Technical Support , support@eset.com .
Then , they'll guide you to a way to eliminate the possible threat and recover from the problems.

Staat er inderdaad vol mee alleen ben ik nog niemand tegengekomen met resultaat. Ook het programmaatje van Eset zelf werkt dus niet. Dat zegt doodleuk dat er geen Mebroot.k is aangetroffen!! Maar bij de eerst volgende opstart wordt ie gewoon weer gemeld. Heb natuurlijk allang gemaild naar Eset maar geen antwoord!! Enige oplossing Eset eraf en een ander virus programma erop want Eset is de enige die dit paard ontdekt en er vervolgens niets mee kan. Harry ik heb nog niemand gegoogled met resultaat ondanks alle aanbevelingen van experts!!!