Win32/Mebroot.K trojaans paard
- Onderwerp starter cvh
- Startdatum
- Status
Dat probeerde ik je duidelijk te maken: tenzij virus/spyware deskundigen een beter plan hebben, ben ik bang dat je aan een format vastzit.
Ik vind het overigens "bijzonder" een MBR virus, ik meende dat ze eigenlijk niet meer konden.
Wat je nog kan proberen is het commando
fdisk /mbr
Ik vind het overigens "bijzonder" een MBR virus, ik meende dat ze eigenlijk niet meer konden.
Wat je nog kan proberen is het commando
fdisk /mbr
Laatst bewerkt:
Je zou ook met de Windows CD kunnen opstarten, en dan op R voor de herstelconsole (Recoveryconsole). Dan type je fixmbr en daarna fixboot, dan is het ook opgelost. Maar dat is volgens mij hetzelfde als het commando 2 posts geleden. En dit trucje werkt alleen met Windows 2000 CD's en Windows XP CD's, misschien met de Windows Vista DVD maar dat weet ik niet.
En als al het bovenstaande niet werkt, kan je Eset Mebroot Remover proberen.
Eset Mebroot Remover: http://www.eset.eu/download/emebremover
Eset Mebroot Remover: http://www.eset.eu/download/emebremover
Harry Snor
Giga Honourable Senior Member †
- Lid geworden
- 1 mrt 2004
- Berichten
- 12.409
Hoi !
Systeemherstel uitzetten, opnieuw scannen, opnieuw opstarten, nieuw herstelpunt maken en systeemherstel weer inschakelen.
Doe je dit niet ben je volgend jaar nog aan het zoeken !
Greetz,
Harry.
Systeemherstel uitzetten, opnieuw scannen, opnieuw opstarten, nieuw herstelpunt maken en systeemherstel weer inschakelen.
Doe je dit niet ben je volgend jaar nog aan het zoeken !
Greetz,
Harry.
lightframe
Gebruiker
- Lid geworden
- 27 okt 2008
- Berichten
- 543
De MBR infecties zijn redelijk populair de laatste tijd.
De naam die eraan wordt gegeven is zoals gewoonlijk per AV verschillend. In dit geval zal het door de meesten als Mebroot of Sinowal worden herkend (als 't al gedetecteerd wordt natuurlijk).
Snelle detectie van actieve MBR rootkits en andere actieve malware kan heel snel met Prevx CSI
Programmaatje zal alleen adware opruimen zonder licentie, maar je kunt in ieder geval in een paar minuten controleren of er malware actief is, waaronder MBR rootkits.
Een ander programmaatje dat veel MBR rootkits kan detecteren en verwijderen is de MBR tool van GMER, Stealth MBR rootkit detector 0.2.4 Onderaan de pagina staat het bestand mbr.exe dat je kunt downloaden. Dit programmaatje is alléén voor het detecteren en verwijderen van MBR rootkits, niet voor andere malware.
Zet mbr.exe op het buroblad.
Uitvoeren en je krijgt een mbr.log op het buroblad.
1. Schoon log ziet er zo uit;
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
2. Een actieve MBR infectie geeft een log als dit (sector en size kunnen verschillen per infectie/systeem);
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x996055b size 0x1fd !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
3. Wanneer de MBR rootkit niet meer actief is, onschadelijk gemaakt door een ander programma, dan kan het log er toch als volgt uitzien;
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x996055b size 0x1fd !
copy of MBR has been found in sector 62 !
Let op dat de regel MBR rootkit code detected ! ontbreekt en is vervangen door user & kernel MBR OK. Het woord "rootkit" komt niet meer voor in het log en de optie om het te verwijderen met deze tool ontbreekt ook.
Wanneer je dit laatste log te zien krijgt wil dat zeggen dat de code nog wel aanwezig is maar niet meer actief gebruikt wordt. Dus eigenlijk is er niets meer aan de hand. Het systeem is niet meer geïnfecteerd.
Heb net even een systeem geïnfecteerd met zo'n MBR rootkit om deze logs te maken. En bij het 3e log was de machine ook echt niet meer geïnfecteerd. Grappig was wel dat toen ik de malicous code uit de MBR als een *.txt bestand op mijn C:\ schijf zette mijn AV direct begon te mekkeren over een Mebroot infectie, maar dit was dus slechts inactieve code.
Wat te doen met Stealth MBR rootkit detector 0.2.4 bij een actieve infectie (log 2)?
Dan dient mbr.exe weer te worden gestart met de parameter -f
Dit kan het makkelijkste door de volgende regel in een tekstbestandje op je buroblad te zetten.
mbr.exe -f
(denk om de spatie tussen mbr.exe en -f)
Dan dit tekstbestandje hernoemen naar bijvoorbeeld fixmbr.bat of direct opslaan als fixmbr.bat
Wanneer je dit bestandje dan uitvoert zal mbr.exe worden uitgevoerd met de parameter -f en wordt de rootkit verwijderd.
Daarna nogmaals mbr.exe starten om te controleren of het log nu schoon is.
De naam die eraan wordt gegeven is zoals gewoonlijk per AV verschillend. In dit geval zal het door de meesten als Mebroot of Sinowal worden herkend (als 't al gedetecteerd wordt natuurlijk).
Snelle detectie van actieve MBR rootkits en andere actieve malware kan heel snel met Prevx CSI
Programmaatje zal alleen adware opruimen zonder licentie, maar je kunt in ieder geval in een paar minuten controleren of er malware actief is, waaronder MBR rootkits.
Een ander programmaatje dat veel MBR rootkits kan detecteren en verwijderen is de MBR tool van GMER, Stealth MBR rootkit detector 0.2.4 Onderaan de pagina staat het bestand mbr.exe dat je kunt downloaden. Dit programmaatje is alléén voor het detecteren en verwijderen van MBR rootkits, niet voor andere malware.
Zet mbr.exe op het buroblad.
Uitvoeren en je krijgt een mbr.log op het buroblad.
1. Schoon log ziet er zo uit;
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
2. Een actieve MBR infectie geeft een log als dit (sector en size kunnen verschillen per infectie/systeem);
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x996055b size 0x1fd !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
3. Wanneer de MBR rootkit niet meer actief is, onschadelijk gemaakt door een ander programma, dan kan het log er toch als volgt uitzien;
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x996055b size 0x1fd !
copy of MBR has been found in sector 62 !
Let op dat de regel MBR rootkit code detected ! ontbreekt en is vervangen door user & kernel MBR OK. Het woord "rootkit" komt niet meer voor in het log en de optie om het te verwijderen met deze tool ontbreekt ook.
Wanneer je dit laatste log te zien krijgt wil dat zeggen dat de code nog wel aanwezig is maar niet meer actief gebruikt wordt. Dus eigenlijk is er niets meer aan de hand. Het systeem is niet meer geïnfecteerd.
Heb net even een systeem geïnfecteerd met zo'n MBR rootkit om deze logs te maken. En bij het 3e log was de machine ook echt niet meer geïnfecteerd. Grappig was wel dat toen ik de malicous code uit de MBR als een *.txt bestand op mijn C:\ schijf zette mijn AV direct begon te mekkeren over een Mebroot infectie, maar dit was dus slechts inactieve code.
Wat te doen met Stealth MBR rootkit detector 0.2.4 bij een actieve infectie (log 2)?
Dan dient mbr.exe weer te worden gestart met de parameter -f
Dit kan het makkelijkste door de volgende regel in een tekstbestandje op je buroblad te zetten.
mbr.exe -f
(denk om de spatie tussen mbr.exe en -f)
Dan dit tekstbestandje hernoemen naar bijvoorbeeld fixmbr.bat of direct opslaan als fixmbr.bat
Wanneer je dit bestandje dan uitvoert zal mbr.exe worden uitgevoerd met de parameter -f en wordt de rootkit verwijderd.
Daarna nogmaals mbr.exe starten om te controleren of het log nu schoon is.
Laatst bewerkt:
Ik krijg het volgende mbrlog:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x950a600 size 0x1b5 !
Als ik het antwoord van lightframe dus lees betekent dit dat de trojan niet meer actief is en onschadelijk is gemaakt voor mijn pc.
Maar ondanks dat krijg ik van NOD 32 de virusmelding. Blijf ik die melding behouden?
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x950a600 size 0x1b5 !
Als ik het antwoord van lightframe dus lees betekent dit dat de trojan niet meer actief is en onschadelijk is gemaakt voor mijn pc.
Maar ondanks dat krijg ik van NOD 32 de virusmelding. Blijf ik die melding behouden?
lightframe
Gebruiker
- Lid geworden
- 27 okt 2008
- Berichten
- 543
NOD32 leest die code in de MBR en waarschuwt dus voor Win32/Mebroot.K
Al zou je exact diezelfde code die nu in de MBR staat als een tekstbestand in bijvoorbeeld c:\noemmaarwat\mbr.txt neerzetten dan zal die ook door NOD32 worden gezien als Win32/Mebroot.K terwijl het helemaal niet actief is.
Eigenlijk hetzelfde als wanneer je een setup.exe zal downloaden waar een virus in zit. Een virusscanner zal je in de meeste gevallen waarschuwen voor dit virus terwijl je de setup nog niet eens hebt gestart, en het virus dus helemaal niet actief is.
De MBR is een eng en onbekend gebied dus lijkt het nu allemaal wat erger, als deze malicious code" gewoon ergens op C:\ stond kon je het makkelijk verwijderen en was je van de melding af.
Wanneer zowel Prevx CSI als de tool van GMER geen actieve rootkit detecteren in de MBR is er ook geen rootkit actief. Dacht dat er in NOD32 wel een mogelijkheid was om het scannen van de MBR uit te zetten. En in de bios de optie om de MBR te wijzigen inschakelen, dan ben je beschermd tegen een eventuele nieuwe MBR rootkit.
Weet bijna zeker dat er volgende week wel een oplossing beschikbaar is om die niet actieve malicious code simpel te verwijderen met een programmaatje dat gewoon in Windows draait.
Al zou je exact diezelfde code die nu in de MBR staat als een tekstbestand in bijvoorbeeld c:\noemmaarwat\mbr.txt neerzetten dan zal die ook door NOD32 worden gezien als Win32/Mebroot.K terwijl het helemaal niet actief is.
Eigenlijk hetzelfde als wanneer je een setup.exe zal downloaden waar een virus in zit. Een virusscanner zal je in de meeste gevallen waarschuwen voor dit virus terwijl je de setup nog niet eens hebt gestart, en het virus dus helemaal niet actief is.
De MBR is een eng en onbekend gebied dus lijkt het nu allemaal wat erger, als deze malicious code" gewoon ergens op C:\ stond kon je het makkelijk verwijderen en was je van de melding af.
Wanneer zowel Prevx CSI als de tool van GMER geen actieve rootkit detecteren in de MBR is er ook geen rootkit actief. Dacht dat er in NOD32 wel een mogelijkheid was om het scannen van de MBR uit te zetten. En in de bios de optie om de MBR te wijzigen inschakelen, dan ben je beschermd tegen een eventuele nieuwe MBR rootkit.
Weet bijna zeker dat er volgende week wel een oplossing beschikbaar is om die niet actieve malicious code simpel te verwijderen met een programmaatje dat gewoon in Windows draait.
- Status
