Supportnet Computer
Planet of Tech

Supportnet / Forum / Windows98

Virus im Bootsektor





Frage

Habe eine Parity.1 Virenmeldung im Masterbootsektor, das Virenprogramm schaltet sich ab, das Cd Romlaufwerk geht nicht mehr. kann man diesen Bootsektor wieder reparieren?

Antwort 1 von Mickey

Wenn du dir sicher bist die Meldung von einem Virus kommt:
Fahr den Rechner runter und schalte ihn aus.
Warte dann ca. 15-20 Sekunden, bis der Rechner alle Daten aus dem Speicher verloren hat und boote den Rechner mit einer
schreibgeschützten, nicht infizierten Boot-Diskette.

Gib dann folgenden DOS-Befehl ein:

fdisk /mbr

Fdisk erstellt einen neuen Bootsektor und löscht damit den Virus.
Schalte den Rechner nach der Eingabe des Befehls sofort ab, um eine Neuinfizierung zu verhindern und warte wieder 15 sec. bis zum Neustart ( Diskette entfernen ).

Gruss,
Mic

Antwort 2 von Rodi

Hi.
Definitiv ja.
Allerdings bekommst Du jetzt richtig arbeit. Soviel zum Thema Bootsektorviren sind keine Bedrohung mehr. *g*
Besorge Dir eine sauber Bootfähige Floppy oder CD. Diese muss alle Treiber enthalten und darf die Festplatte keinesfalls ansprechen. Anschliessend startest Du ein aktuelles DOS - Anti Viren Programm. (Von mir aus auch ein Linux Anti Viren Programm). Dieses sollte wenn es die aktuellen Virensignaturen enthält denselben erkennen und auch entfernen können.
Wenn Du eine saubere Bootdisk brauchst, mit einer RAMDrive, dann kann ich Dir meine schicken.
Als Anti Viren Programm kann ich F-Prot empfehlen. Entpacke die Dateien auf mehrere Disketten und kopiere diese auf die RAMDrive. Anschliessend kopierst Du noch die aktuellen Viresignaturen auf die RAMDrive. Programm starten (am besten mit Heuristic) und auf die Meldungen reagieren.
F-Prot bekommt man hier.
Ich hoffe das hilft Dir weiter. ;)
Ich persönlich habe mir mal eine bootfähige CD gebastelt, die eine RAMDrive anlegt. Ausserdem sind Norton Ghost, F-Prot und Lost&Found drauf. So kann ich fast alle möglichen Problemchen abfangen. :)
Gruss @all,
Dirk

Antwort 3 von Limbius

Wenn du den Parity1 auf deinem PC hast würde ich den Vorschlag von Mickey nicht realisieren. Erfahrungsgemäß (eigene Erfahrungen) geht es in die Hose den MBR mit Fdisk neu zu erstellen und zu hoffen den Virus danach los zu sein. Ich hatte bei einem Virus ähnlicher Signatur vor einigen Jahren nach 2 Tagen das gleiche Problem wieder.
Das einzige was mir damals geholfen hatte war es den MBR komplett zu überschreiben und neu zu erstellen. Dazu habe ich ein sehr kleines Tool namens S0Kill benutzt (SNULLKILL)!!
Sollte der Vorschlag von Rodi nicht weiterhelfen würde ich auf s0kill zurückgreifen !!

Greets

Antwort 4 von BatBuster

bei einem parity1 im mbr genügt natürlich ein "fdisk /mbr" (von einer sauberen boot-disk oder -cd gestartet.....), um den bootsektor wieder sauber zu bekommen. da der virus aber ausserdem die COMMAND.COM befällt, wird der mbr beim nächsten booten wieder infiziert. es ist also notwendig, nach dem "fdisk /mbr" noch ein "sys c:" auszuführen, danach ist ruh ;-) ausserdem sicherheitshalber im bios das floppy aus der bootreihenfolge nehmen, damit ist eine erneute infektion nahezu ausgeschlossen *g*

so long,

BatBuster

Antwort 5 von 14071

Hi,

@Limbius
also wenn Du schon S0kill empfiehlst, wäre es wenigstens angebracht darauf hinzuweisen, daß damit unwiderbringlich alle Daten auf dieser HDD gelöscht werden.

Gruß
Jürgen

Antwort 6 von Reinhold

Vielen Dank für eure nette Hilfe, fürchte ich habe jetzt ein wenig Arbeit
Viele Grüße aus Tirol

Antwort 7 von Limbius

@lucky : stimmt, den Hinweis hatte ich vergessen !!
@Batbuster : das wußte ich auch noch nicht. Wenn ich das damals gewußt hätte wäre ich sicherlich besser dran gewesen und der Einsatz von S0kill wäre mir erspart geblieben.

Aber bevor hier wieder ein Diskussion über Kompetenz und Inkompetenz entfacht wird entschuldige ich mich einfach mal an dieser Stelle dafür das ich ein Mensch bin und Menschen Fehler machen...

Greets

Antwort 8 von 14071

@Limbius

wir machen doch alle mal Fehler ;-) - und hier kann man immer noch mal was dazu lernen.

Aber mein posting sollte nicht auf einen Fehler deinerseits hinweisen, sondern Reinhold (und Stöberer im Archiv) davor bewahren ihre Platte platt zu machen, ohne zu wissen was sie tun.

Gruß
Jürgen

Antwort 9 von Limbius

@lucky: Ich hatte es ja auch nicht als "Angriff" verstanden.
Ich wollte nur nicht das es wieder auf eine Grundsatzdiskussion hinausläuft, so wie es oft genug der Fall ist.
Viele verdammt fähige Leute aus der Zeit, in der ich hier im Supportnet angefangen hatte meiden mittlerweile dieses Board aus eben diesen Gründen.
Ich musste mich damals selbst oft genug "anmachen" lassen weil ich in der Meinung einiger nicht immer richtig geantwortet hatte. Klar kann man darüber hinweg sehen aber wenn es ZU oft wird dann überlegt man sich genau ob man noch "helfen" möchte oder nicht.
Sorry wenn ich gleich so "ausführlich" zu diesem Thema poste aber es gab in letzter einige Leute die vergessen das es ein Merkmal von Meinungen ist das es viele gibt !! Also Sorry nochmal

Greets

Antwort 10 von 14071

@Limbius

hast schon Recht. Dein Nick ist mir auch noch aus meinen Anfangstagen ein Begriff. Ist mir auch schon öfter negativ aufgestossen, daß emotionale "Debatten" fast endlose threads zur Folge haben, wogegen fachliche Hilfestellungen nichtmal ein simplen feedback bekommen.

Also mach´s gut, man liest sich mal wieder

Jürgen

Antwort 11 von Reinhold

An alle Danke noch einmal, konnte das Problem lösen - eine tolle Seite hier für technisch nicht so versierte wie mich!

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: