Tool zum Entfernen von Rootkits – aswMBR.exe 0.9.8

aswMBR ist ein Rootkit Scanner, der das System auf TDL4/3, MBRoot (Sinowal), Whistler und andere Rootkits hin überprüft.

Achtung: Nutzen Sie dieses Tool unter keinen Umständen bei “vorinstallierten Windows-PCs” und nehmen Sie kompetente Unterstützung von einem versierten Fachmann in Anspruch. Diese finden Sie u.a. bei uns im Hilfe-Forum unter: forum.botfrei.de

Anleitung zur Prüfung

  • aswMBR.exe ( 1870KB ) auf den Desktop herunterladen.
  • Schliessen Sie alle anderen Programme und deaktivieren Sie Ihre Antiviruslösung
  • Doppel-Klick auf aswMBR.exe , um das Programm auszuführen.

Abb.1

  • Den [Scan] – Button anklicken, um die Prüfung zu starten.

Abb.2

Anleitung zur Bereinigung

  • aswMBR.exe erneut ausführen.
  • Auf [Scan] klicken
  • Nach Abschluss der Prüfung je nach Art der Infektion auf [Fix] für TDL4 (MBRoot) oder [FixMBR] für Whistler klicken.

Abb.3

Abb.4

  •  Nach dem Sie ein Maßnahme ergriffen haben, starten Sie den Computer neu und führen aswMBR.exe erneut aus und schauen ob noch rote Einträge erscheinen.

Untersuchung von **SUSPICIOUS** Dateien

  • Rechts-Klick auf das rote hinterlegte Objekt ausführen

Abb.5

  • Die Datei an einen neuen Ort kopieren, z.B. copy_afd.sys

Bitte beachten, dass das Kopieren der Datei mittels Windows Explorer nutzlos ist, da die wahren Daten versteckt sind.

  • Die Datei auf http://www.virustotal.com hochladen…
  • oder der Antiviren Lösungen Job erledigen lassen.
  • aktivieren Sie nach Beenden des aswmbr Ihre Antivirenlösung!

Abb.6

Weiter Informationen zu Rootkits finden Sie hier

Wenn Sie Hilfe bei der Bedienung dieses RootKit-Scanners benötigen, oder Sie mit uns Ihre Erfahrungen mit diesem Tool teilen möchten, besuchen Sie uns doch einfach in unserem Support-Forum unter forum.botfrei.de

7 thoughts on “Tool zum Entfernen von Rootkits – aswMBR.exe 0.9.8”

  1. Was ist wenn nicht “MBR read successfully” steht sonder “MBRunknown” ?
    Aber sonst soweit nichts rot ist ,ist mein PC betroffen?

    Gruß

    1. Hallo Matthias,

      grundsätzlich ist ein “MBR unknown” erstmal nichts schlimmes und zeigt lediglich dass der vorhandene MBR kein Standard-MBR ist. Viele Hersteller wie Dell, Sony, Acer etc. verwenden z.B. Recovery-Partitionen um den Rechner in den Originalzustand zurückzusetzen. Diese MBR’s werden auch als “unknown” angezeigt, da sie sich vom orginalen MBR einer Windows-Installation unterscheiden. Vorsicht: Wenn Sie also ein solches MBR mit dem Standard-MBR “fixen” ist es nicht mehr möglich den Rechner über die Recovery-Partition in den Originalzustand zurückzusetzen. Definitiv gefährlich ist ein roter Eintrag “Rootkit detected”.

      Gruß
      CG (ABBZ)

  2. Was ist, wenn überhaupt nichts dasteht von “MBR scan” oder “MBR read successfully” oder von “Disk 0”, sondern wenn es gleich beginnt mit “Disk 0 traced-called modules”?

  3. was ist mit \Driver\Disk bzw. \Driver\atapi IRP_MJ_CREATE

    sind das bedrohungen oder kommt es von z.b. daemon tools?

    1. Hallo Josef,
      Daemontools und z.b. Alkohol arbeite ähnlich wie Rootkits und werden zB. von Gmer als Bedrohung erkannt…
      Alle deaktivieren evtl. wenn nötig deinstallieren und neu scannen.

      Gruß ABBZ

    2. Great post! Rootkit detection is dfificult because a rootkit may be able to subvert the software that is intended to find it. They can lie hidden on computers and remain undetected by antivirus software. Removing rootkits without compromising system integrity is particularly challenging and needs to be done with care.

    3. Hello Nadia,

      Thanks for your information, a good alternative is to formatting the HDD and always reinstall.

      best regards
      TB, ABBZ

Kommentare sind geschlossen.