aswMBR 1.0.1.2290 - Tool zum Entfernen von Rootkits

Merlin · 16.08.11, 19:57

aswMBR ist ein Rootkit Scanner, der auf MBR/VBR/SRV Rootkits prüft. Er kann TDL4/3, ZAccess, MBRoot (Sinowal), Whistler, SST, Cidox, Pihar und andere Malware erkennen.

Es handelt sich dabei um ein alleinstehendes Bereinigungswerkzeug, nicht um ein vollständigs Antivirenprogramm. Für vollständigen Schutz bitte Avast Antivirus installieren!

Die aktuelle Version von aswMBR unterstützt Virtualisierungstechnologie um die Erkennung von versteckter Malware zu verbessern. Dazu muss der Rechner und die CPU Hardwarevirtualisierung unterstützen.

Download: aswMBR.exe ( 5079KB )

msgbox.png

aswMBRVM.jpg

Anleitung zur Prüfung

aswMBR herunterladen uf den Desktop herunterladen.
Doppel-Klick auf aswMBR.exe, um das Programm auszuführen.

aswMBR1.jpg

Den [Scan] - Button anklicken, um die Prüfung zu starten.

aswMBR2.jpg

Anleitung zur Bereinigung

aswMBR.exe erneut ausführen.
Auf [Scan] klicken
Nach Abschluss der Prüfung je nach Art der Infektion auf [Fix] für TDL4 (MBRoot) oder [FixMBR] für Whistler klicken.

aswMBR3.jpg
aswMBR4.jpg

Untersuchung von **SUSPICIOUS** Dateien

Rechts-Klick auf das rote hinterlegte Objekt ausführen

aswMBR5.jpg

Die Datei an einen neuen Ort kopieren, z.B. copy_afd.sys

Bitte beachten, dass das Kopieren der Datei mittels Windows Explorer nutzlos ist, da die wahren Daten versteckt sind.

Die Datei auf http://www.virustotal.com hochladen...
...oder die neusten avast! Virensignaturen runterladen und die Antiviren Engine den Job erledigen lassen.

aswMBR6.jpg

Cairns · 16.08.11, 20:42

Erledigt Avast den Job genauso gut oder benötige ich dieses Tool gegen Rootkits?

**Auggie** · 16.08.11, 21:01

Wie bei der Anwendung jedes Spezialtools benötigst Du vor allem Wissen darüber, was Du da tust.
Verglichen mit dem externen Rootkit-Scanner arbeitet der eingebaute Rootkit-Scanner ein wenig oberflächlicher, externe Rootkit-Scanner gehen sehr in die Tiefe.
Und da liegt auch das Problem für den "normalen" Anwender.....der kann oft die gefundenen Einträge nicht richtig interpretieren.
Daher sollten solche Tools nicht wahllos pauschal sondern nur bei begründetem Verdacht eingesetzt werden, und nur von Anwendern, die wissen, was sie tun.
Für den normalen Arbeitsalltag ist das eingebaute Rootkit-Modul völlig ausreichend.

Merlin · 16.08.11, 21:35

Hallo,

vollkommen richtig erklärt und genau das sollte auch dabei beachtet werden!

Generell ist die Anleitung auch eher als Ergänzung zu der heute erschienene Pressemitteilung zu dem Thema zu sehen.

**Fnord67** · 24.08.11, 15:30

Hallo Wissende,

habe nach dem Scan folgendes Log (Auszug):
-----
15:16:25.392 Initialize success
15:18:09.886 AVAST engine defs: 11082401
15:18:16.640 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000075
15:18:16.640 Disk 0 Vendor: ST325082 3.AD Size: 238418MB BusType: 3
15:18:16.640 Disk 1 \Device\Harddisk1\DR1 -> \Device\00000077
15:18:16.656 Disk 1 Vendor: WDC_WD10 01.0 Size: 953869MB BusType: 3
15:18:18.809 Disk 0 MBR read successfully
15:18:18.809 Disk 0 MBR scan
15:18:18.856 Disk 0 unknown MBR code
15:18:18.856 Service scanning
15:19:01.040 Modules scanning
15:19:01.040 Disk 0 trace - called modules:
15:19:01.056 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll nvstor.sys
15:19:01.056 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8003221060]
15:19:01.056 3 CLASSPNP.SYS[fffff880019bd43f] -> nt!IofCallDriver -> [0xfffffa8002f9e190]
15:19:01.056 5 ACPI.sys[fffff88000ec37a1] -> nt!IofCallDriver -> \Device\00000075[0xfffffa8002f9e6a0]

-----

Frage: Disk0 unknown MBR code
kann diese Meldung durch das parallel installierte Ubuntu (Grub im MBR) verursacht sein?

Danke schonmal

PF

Merlin · 25.08.11, 08:10

Hallo,

entweder das oder eine Recovery Partition des PC Herstellers.

**Auggie** · 25.08.11, 09:33

Da neue Rechner nur noch selten mit einem Datenträger für das OS ausgeliefert werden, tippe ich auf die zweite Option.
Der Hersteller stattet die Festplatte mit einer als hidden gekennzeichneten Partion aus, wo die Recovery-Daten liegen.
Über eine mitgelieferte Anwendung kann man sich eine Recovery-DVD erstellen, um im Fall der Fälle das System in den Auslieferungs-Zustand zurück zu setzen.
Oft existiert auch ein Boot-Menü, über das das System zurück gesetzt werden kann.

**Mufti12000** · 29.05.13, 17:29

Hallo Zuammen,

wenn ich einen Scan mit aswbmr durchführe, stürzt dieser regelmäßig im Ordner /windows/assembly ab.
Bislang hatte ich die 0.9.8.986 aber auch die neue Version 0.9.9.1771 stürzt dort ab.

Was kann dir Ursache sein?

Danke

Merlin · 29.05.13, 17:42

Hallo,

versuch bitte mal, das Tool im abgesicherten Modus auszuführen.

**Mufti12000** · 30.05.13, 01:50

Dort habe ich das selbe Problem. Er scannt wohl \assembly\gac_msil\microsoft.visualstudio.tools.ap plications ... und mehr ist nicht zu sehen.
Es erscheint die Meldung "Das Programm wird aufgrund eines Problems nicht richtig ausgeführt... Sie werden benachrichtigt wenn eine Lösung verfügbar ist."