Supportnet / Forum / WindowsNT
Virus FORM
Frage
Hi, jetzt glaub´ ich brennts. Ich hab mir den FORM-Virus im Bootsektor eingefangen. Wie bekomm ich den ohne Formatierung wieder los ?
Gruß
Charly.B
Antwort 1 von magic m
fdisk /mbr
Antwort 2 von Redschina
hi charly,
ich hoffe, das hilft dir weiter:
http://www.hu-berlin.de/bsi/viren/kap3/kap3_3_4.htm
gruss, redschina
ich hoffe, das hilft dir weiter:
http://www.hu-berlin.de/bsi/viren/kap3/kap3_3_4.htm
gruss, redschina
Antwort 3 von SvenjaK
Antwort 4 von Mickey
Hi,
habe folgendes zu Deiner Frage gefunden:
HINWEIS: Ist der PC vorher schon mit einem BS-Infektor verseucht, z.B. dem FORM Virus,
so wird der FORM Virus während der Installation ebenfalls in dieser Datei "BOOTSECT.DOS"
gesichert und bei jedem DOS-Start wieder aktiviert !
Infiziert man eine saubere NT-Maschine mit dem FORM-Virus, wird,wie erwartet der BS durch
den FORM-Virus ersetzt und der originale BS an das physische Ende der Festplatte kopiert.
Allerdings kann es passieren, das eine auf diese Weise infizierte Maschine plötzlich nicht mehr bootet.
Der gerettete Original-BS des Systems kann durch das Paging des NT-Systems überschrieben werden und
beim nächsten Bootvorgang wird dann kein gültiger BS mehr gefunden und das System steht.
HINWEIS: In diesem Fall kann das System gerettet werden, in dem man von der SETUP Diskette
von NT bootet und dann die Option "repair a damaged installation" anwählt. Dabei sollte aber
lediglich die Unteroption "examine boot sector" aktiviert sein, sprich alle anderen Unteroptionen
sollten ausgeschaltet werden. Um einen BS-Infektor los zu werden, benötigt man unter NT
also keinen Virenkiller, die SETUP-Diskette ist ausreichend (analog zum SYS-Befehl unter DOS).
[URL]http://www.schorrle.de/viren/vir-nt.htm[/URL]
Gruß,
Mic
habe folgendes zu Deiner Frage gefunden:
Zitat:
Methode der Infektion:
Ein System kann nur durch das Booten von einer infizierten Diskette befallen werden.
Auch wenn die Diskette nicht bootable ist und er DOS-Text:"Non-system disk or disk error"
erscheint ist der Bootsektor der Festplatte bereits infiziert.
Bei jedem folgenden Systemstart wird der Virus in den Arbeitsspeicher geladen und
kann bei jedem Floppy-Disk-Zugriff deren Bootsektor infizieren und sich so verbreiten.
Methode der Infektion:
Ein System kann nur durch das Booten von einer infizierten Diskette befallen werden.
Auch wenn die Diskette nicht bootable ist und er DOS-Text:"Non-system disk or disk error"
erscheint ist der Bootsektor der Festplatte bereits infiziert.
Bei jedem folgenden Systemstart wird der Virus in den Arbeitsspeicher geladen und
kann bei jedem Floppy-Disk-Zugriff deren Bootsektor infizieren und sich so verbreiten.
HINWEIS: Ist der PC vorher schon mit einem BS-Infektor verseucht, z.B. dem FORM Virus,
so wird der FORM Virus während der Installation ebenfalls in dieser Datei "BOOTSECT.DOS"
gesichert und bei jedem DOS-Start wieder aktiviert !
Infiziert man eine saubere NT-Maschine mit dem FORM-Virus, wird,wie erwartet der BS durch
den FORM-Virus ersetzt und der originale BS an das physische Ende der Festplatte kopiert.
Allerdings kann es passieren, das eine auf diese Weise infizierte Maschine plötzlich nicht mehr bootet.
Der gerettete Original-BS des Systems kann durch das Paging des NT-Systems überschrieben werden und
beim nächsten Bootvorgang wird dann kein gültiger BS mehr gefunden und das System steht.
HINWEIS: In diesem Fall kann das System gerettet werden, in dem man von der SETUP Diskette
von NT bootet und dann die Option "repair a damaged installation" anwählt. Dabei sollte aber
lediglich die Unteroption "examine boot sector" aktiviert sein, sprich alle anderen Unteroptionen
sollten ausgeschaltet werden. Um einen BS-Infektor los zu werden, benötigt man unter NT
also keinen Virenkiller, die SETUP-Diskette ist ausreichend (analog zum SYS-Befehl unter DOS).
[URL]http://www.schorrle.de/viren/vir-nt.htm[/URL]
Gruß,
Mic
Antwort 5 von Charly.B
Hi, das fdisk /mbr funzt unter NT nicht.
Die Lösung mit der SETUP-Diskette hört sich gut an. Diese werd´ ich auch mal ausprobieren. Erfahrungswerte folgen...
Gruß
Charly
Die Lösung mit der SETUP-Diskette hört sich gut an. Diese werd´ ich auch mal ausprobieren. Erfahrungswerte folgen...
Gruß
Charly