PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Anleitung aswMBR 1.0.1.2290 - Tool zum Entfernen von Rootkits



Merlin
16.08.11, 20:57
aswMBR ist ein Rootkit Scanner, der auf MBR/VBR/SRV Rootkits prüft. Er kann TDL4/3, ZAccess, MBRoot (Sinowal), Whistler, SST, Cidox, Pihar und andere Malware erkennen.

Es handelt sich dabei um ein alleinstehendes Bereinigungswerkzeug, nicht um ein vollständigs Antivirenprogramm. Für vollständigen Schutz bitte Avast Antivirus installieren!

Die aktuelle Version von aswMBR unterstützt Virtualisierungstechnologie um die Erkennung von versteckter Malware zu verbessern. Dazu muss der Rechner und die CPU Hardwarevirtualisierung unterstützen.

Download: aswMBR.exe (http://files.avast.com/files/rootkit-scanner/aswmbr.exe) ( 5079KB )

1816

1817

Anleitung zur Prüfung



aswMBR herunterladen uf den Desktop herunterladen.
Doppel-Klick auf aswMBR.exe, um das Programm auszuführen.

628

Den [Scan] - Button anklicken, um die Prüfung zu starten.

629


Anleitung zur Bereinigung

aswMBR.exe erneut ausführen.
Auf [Scan] klicken
Nach Abschluss der Prüfung je nach Art der Infektion auf [Fix] für TDL4 (MBRoot) oder [FixMBR] für Whistler klicken.

630
631

Untersuchung von **SUSPICIOUS** Dateien



Rechts-Klick auf das rote hinterlegte Objekt ausführen

632

Die Datei an einen neuen Ort kopieren, z.B. copy_afd.sys

Bitte beachten, dass das Kopieren der Datei mittels Windows Explorer nutzlos ist, da die wahren Daten versteckt sind.

Die Datei auf http://www.virustotal.com hochladen...
...oder die neusten avast! Virensignaturen runterladen und die Antiviren Engine den Job erledigen lassen.

633

Cairns
16.08.11, 21:42
Erledigt Avast den Job genauso gut oder benötige ich dieses Tool gegen Rootkits?

Auggie
16.08.11, 22:01
Wie bei der Anwendung jedes Spezialtools benötigst Du vor allem Wissen darüber, was Du da tust.
Verglichen mit dem externen Rootkit-Scanner arbeitet der eingebaute Rootkit-Scanner ein wenig oberflächlicher, externe Rootkit-Scanner gehen sehr in die Tiefe.
Und da liegt auch das Problem für den "normalen" Anwender.....der kann oft die gefundenen Einträge nicht richtig interpretieren.
Daher sollten solche Tools nicht wahllos pauschal sondern nur bei begründetem Verdacht eingesetzt werden, und nur von Anwendern, die wissen, was sie tun.
Für den normalen Arbeitsalltag ist das eingebaute Rootkit-Modul völlig ausreichend.

Merlin
16.08.11, 22:35
Hallo,

vollkommen richtig erklärt und genau das sollte auch dabei beachtet werden!

Generell ist die Anleitung auch eher als Ergänzung zu der heute erschienene Pressemitteilung (http://forum.avadas.de/threads/3417-XP-bleibt-Brutst%C3%A4tte-der-Cyberinfektionen) zu dem Thema zu sehen.

Fnord67
24.08.11, 16:30
Hallo Wissende,

habe nach dem Scan folgendes Log (Auszug):
-----
15:16:25.392 Initialize success
15:18:09.886 AVAST engine defs: 11082401
15:18:16.640 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000075
15:18:16.640 Disk 0 Vendor: ST325082 3.AD Size: 238418MB BusType: 3
15:18:16.640 Disk 1 \Device\Harddisk1\DR1 -> \Device\00000077
15:18:16.656 Disk 1 Vendor: WDC_WD10 01.0 Size: 953869MB BusType: 3
15:18:18.809 Disk 0 MBR read successfully
15:18:18.809 Disk 0 MBR scan
15:18:18.856 Disk 0 unknown MBR code
15:18:18.856 Service scanning
15:19:01.040 Modules scanning
15:19:01.040 Disk 0 trace - called modules:
15:19:01.056 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll nvstor.sys
15:19:01.056 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8003221060]
15:19:01.056 3 CLASSPNP.SYS[fffff880019bd43f] -> nt!IofCallDriver -> [0xfffffa8002f9e190]
15:19:01.056 5 ACPI.sys[fffff88000ec37a1] -> nt!IofCallDriver -> \Device\00000075[0xfffffa8002f9e6a0]

-----

Frage: Disk0 unknown MBR code
kann diese Meldung durch das parallel installierte Ubuntu (Grub im MBR) verursacht sein?

Danke schonmal

PF

Merlin
25.08.11, 09:10
Hallo,

entweder das oder eine Recovery Partition des PC Herstellers.

Auggie
25.08.11, 10:33
Da neue Rechner nur noch selten mit einem Datenträger für das OS ausgeliefert werden, tippe ich auf die zweite Option.
Der Hersteller stattet die Festplatte mit einer als hidden gekennzeichneten Partion aus, wo die Recovery-Daten liegen.
Über eine mitgelieferte Anwendung kann man sich eine Recovery-DVD erstellen, um im Fall der Fälle das System in den Auslieferungs-Zustand zurück zu setzen.
Oft existiert auch ein Boot-Menü, über das das System zurück gesetzt werden kann.

Mufti12000
29.05.13, 18:29
Hallo Zuammen,

wenn ich einen Scan mit aswbmr durchführe, stürzt dieser regelmäßig im Ordner /windows/assembly ab.
Bislang hatte ich die 0.9.8.986 aber auch die neue Version 0.9.9.1771 stürzt dort ab.



Was kann dir Ursache sein?


Danke

Merlin
29.05.13, 18:42
Hallo,

versuch bitte mal, das Tool im abgesicherten Modus auszuführen.

Mufti12000
30.05.13, 02:50
Dort habe ich das selbe Problem. Er scannt wohl \assembly\gac_msil\microsoft.visualstudio.tools.ap plications ... und mehr ist nicht zu sehen.
Es erscheint die Meldung "Das Programm wird aufgrund eines Problems nicht richtig ausgeführt... Sie werden benachrichtigt wenn eine Lösung verfügbar ist."

Merlin
30.05.13, 12:50
Hallo,

hast du schonmal mit anderen Tools auf Rootkits geprüft?

Mufti12000
30.05.13, 22:55
ja, nutze den Kaspersky und hatte auch schon mit der CT Desinfect geguckt.

Merlin
01.06.13, 12:17
Hallo,

eine andere Idee hab ich jetzt auch nicht. Das Problem trat auch früher schonmal auf, eine Lösung dafür habe ich bisher aber auch noch nicht gesehen.