Virus in MBR

[Paul-RT]

Hallo.

Ik behandel momenteel een harddisk afkomstig uit een mini-laptop (zonder cd-rom).

De harddisk is middels een USB kabel aangesloten aan mijn eigen pc.
Daar draait een legale versie NOD32.

Deze virusscanner detecteerde op 15 locaties 4 verschillende virussen. Deze zijn allen aangepakt.
Echter, in de MBR (Master Boot Record) blijft 1 virus hangen.
Win32/Olmarik.AJL trojaans Paard.

NOD32 meldt dat dit virus wordt opgeschoond na voltooien van de scan.
Dit gebeurd echter niet.

Hoe los ik dit op, zonder formatteren?
Note: op de harddisk is Windows XP Home geinstalleerd. Deze start niet op.
Na starten krijg ik een verlicht scherm, en that's it.
Ik heb hier de nodif trucks voor, maar die voer ik pas uit, nadat het virus eruit is.


Melding uit het logboek:

MBR-sector van de 6. fysieke schijf - Win32/Olmarik.AJL trojaans paard - geselecteerde actie uitgesteld tot scan voltooid is

 

[dnties]

Fixmbr uitvoeren in Herstelconsole zou het moeten verhelpen, lijkt mij.

Tijs.

 

[Paul-RT]

De laptop start nog niet.
Hoe kom ik zonder cd-rom in de herstel console?
Als de laptop aan gaat, wordt het beeld verlicht, en zie je verder niets.

 

[Ragdoll]

Hallo Paul-RT.

Ik zou als ik jou was eerst even een paar dingen overwegen.
Ze noemen tegenwoordig alles maar een trojaans paard maar zou dat even achterwegen laten.

Het belangrijkste punt is dat in de MBR aanwezig is ,en de gedachte van een boot virus geef je een beter beeld met waar je mee te maken heb.
De kans dat een format je zou helpen is al iets waar je niet van uit kan gaan.
Wat met de MBR te maken heeft kunnen format makelijk overleven en alles begint gewoon weer opnieuw.
Het systeem kan al zo zwaar geinfecteerd en beschadigd dat het moeite niet eens meer waard is en er steeds een kans is dat er nog iets aanwezig blijft.

Persoonlijk voor mij heb dat als één van gevaarlijkste infectief neer gezet waar ik geen enkel risico bij zou nemen.
Zelf zal ik dan wat sneller voor het verwijderen van de MBR kiezen en het hele systeem weer opnieuw opbouwen.

Als het opsporen moet worden dat kies altijd voor een overkill en verschillende scans uitvoeren.
Te beginnen met de rootkits zoals de utility TDSSKiller.
Malwarebytes
Combofix

En alles naar hoe het in de log bestanden word aangegeven wat me niet lekker zit.
Maar goed ik kan dat wat makelijker zeggen omdat het voor mij een sport is.
Mag je met de log bestanden niet helpen maar hoop je zo wat op weg te helpen en ook dat je het niet moet onderschatten.

Succes toe gewenst.

 

[Mik Zjegger]

Hoi Paul,
kun je wat met HirensBootCd_ v 10.6 ? Daar staan onder MBR-Tools tig programma's om je boot te fixen, waaronder o.a. deze

◦MbrFix 1.3: To backup, restore, fix the boot code in the MBR (Windows/Dos Freeware).
◦MBRTool 2.3.200: Backup, verify, restore, edit, refresh, remove, display, re-write… (Dos Freeware).
◦MBRWizard 3.0.48: Directly update and modify the MBR (Master Boot Record) (Windows/Dos Freeware).

Je weet dat je HirensBootCd op USB kunt zetten?
How to ?
Succes.

 

[Ragdoll]

Dan zou ik er toch even wat meer kracht achter willen zetten dat er in een MBR geen virus kan zitten en een MBR fix niet de oplossing tegen een infectie kan zijn.
In de MBR staat niet meer dan een stukje code van een infectie die een funktie heeft om een volgende stap van de infectie op gang te zetten.
Niet zomaar een simpel spelletje van een zondag amateur dus.

Lees dit artikel maar eens om een beeld te krijgen van wat begint bij de MBR.
TDSS. TDL-4

Waarvan ik denk dat het meer logica heeft dat het de infectie in kwestie is ,dan het mogelijk zou zijn om trojaans paard in een MBR douwen laat staan over welk kenmerk van trojaans paard ze het hebben.

Hoop dat het zo wat meer duidelijkheid geeft waar ik het over heb.

Succes.

 

[Paul-RT]

Malwarebytes (MBam) vond niets.
NOD32 vond em wel.

Ik had tegelijk met dit topic ook een mail gestuurd naar NOD32.
Zij kwamen met een fix voor het volgende virus:
Win32/OlmarikTdl4

Deze is inderdaad in de MBR aangetroffen en verwijderd.
Er draait nu een volledige scan van mijn hele pc.

Nu nog de truck om de bestaande windows versie weer aan de gang te slingeren.
Gaat lukken denk ik.

Hallo Paul-RT.Mag je met de log bestanden niet helpen

Welke logs heb je het over?
Denk dat je dat even aan de sectie-mod moet vragen... (HINT )

 

[Ragdoll]

Hoi Paul-RT

Zo als je ziet zat ik goed met de TDL-4 rootkit ,wat de laatste 4 letters van die nod32 fix aangeven.

Als je naar de eerste link TDSSKiller kijkt dan zie je b.v dit staan.
By default, the utility outputs the log into system disk (it is usually the disk with installed operating system, C:\) root folder.
Logs have names like: UtilityName.Version_Date_Time_log.txt.
E.g. C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Malwarebytes kan dat ook maar dat is toch geen onbekende hier.

En combofix.
When Combofix finished, it will create logs for you.

Het komt op het zelfde neer als een hijjack this log.

Do i need to say more ??? :d:d

Dat hoop ik toch niet ,het was een poging om te helpen en niet iets anders dan dat.
Maar of je het aan neem is natuurlijk geheel een vrije keuze ,tenslotte heb ik het probleem niet.
Dus wat ik zou nou even aan de sectie-mod moeten vragen dan ?

By the way malewarebytes had na de rootkit gezet omdat de virus de andere kan beschermen (cloaking).

You fix it ,great job :thumb:

 

[Paul-RT]

NOD32 heeft mij een tooltje opgestuurd waarmee ik het virus uit het MBR kon verwijderen. Dat is gelukt.

Uiteindelijk wilde windows niet herstellen, en heb ik middels een toets combinatie een herstel-actie van de fabrikant kunnen uitvoeren.
De laptop draait weer naar behoren.

Thanx voor de tips en het meedenken.


Groeten, Paul-RT.

 

[Ragdoll]

Tja daar ging al van uit daarom zei ook dat het systeem al zo zwaar beschadigd kan zijn dat het de moeite niet meer waard is.
En dit is geen trojaans paard en ook geen virus.
Maar een rootkit of beter gezegt een bootkit.
Die kunnen op het kernel nivo werken en de Kernel Patch Protection (KPP) omzeilen (niet kraaken maar aan de kant zetten) wat iets te maken heeft Kernel Mode Code Signing die voor de controle dat alleen drivers die digitaal ondertekent zijn worden geinstalleerd.
Geen simpel virusje dus vandaar dat ik zei neem geen enkel risico (en dat zijn de dingen die je niet weet of kan weten).
En volgens mij is de nieuwe install van windows de betere oplossing.:thumb:

Thanx voor deze update het is leuk om de afloop te weten en het kan weer handig zijn voor wie hierbij meeleest.

Groeten van Ragdoll.

 

[Mik Zjegger]

Mooi dat het gelukt is Paul ! :thumb: